Benchmarks Brawte nfaq 0 Comments

マイクロソフトのユーザーを狙ったBitLockerを使ったランサムウェアがまた発生

Table of Contents

マイクロソフトのユーザーを狙ったBitLockerを使ったランサムウェアがまた発生

更新:カスペルスキーによると、さらに多くのランサムウェアが Microsoft BitLocker を使用して企業のファイルを暗号化し、復号キーを盗み、被害組織から金銭を脅し取っている。

ウイルス対策メーカーのグローバル緊急対応チームは、メキシコ、インドネシア、ヨルダンで「シュリンクロッカー」と呼ばれるマルウェアを発見し、このコードの匿名の操作者が鉄鋼会社やワク​​チン製造会社、さらに政府機関を標的にしていたと述べた。

ランサムウェア集団を含む犯罪者が正規のソフトウェアツールを利用するのは、今に始まったことではありません。Cobalt Strikeがその好例です。実際、Microsoftは以前、イランの犯罪者がWindowsに組み込まれているBitLockerのフルボリューム暗号化機能を悪用し、侵入したデバイスをロックしたと発表しました。感染したマシンでBitLockerを使用してデータを暗号化し、身代金を要求する他の種類の恐喝ウェアも記憶に新しいでしょう。

しかし、ShrinkLockerに関しては、「攻撃者は攻撃による被害を最大化し、インシデントへの効果的な対応を妨害するために、追加の措置を講じた」と、カスペルスキーの脅威ハンターであるクリスチャン・ソウザ氏、エドゥアルド・オヴァッレ氏、アシュリー・ムニョス氏、クリストファー・ザチョル氏は木曜日に発表した調査報告書で述べている。この調査報告書には、ShrinkLockerの亜種の検知とブロックに関する技術的な詳細も記載されている。

ザ・レジスターはレドモンドにコメントを求めており、返答があり次第この記事を更新する予定だ。

コンピューターの前に座る悲しそうなITプロフェッショナル

ランサムウェア攻撃でセキュリティ専門家が入院、自殺願望を認める

続きを読む

被害者のマシンでコード実行権限を獲得すると、データ窃盗犯はShrinkLockerを展開します。ShrinkLockerはVBScriptを使用してWindows Management Instrumentation(WMI)をプローブし、オペレーティングシステムのバージョンを特定します。これにより、実行中のMicrosoft OSに応じて適切な手順が選択され、現在のシステムだけでなく、Windows Server 2008以前のシステムも盗み出すことができます。

これらの手順については、スクリプトはディスクのサイズ変更操作(ShrinkLockerの「Shrink」部分)をネットワークドライブではなく固定ドライブ上で実行し(おそらく検出を最小限に抑えるため)、パーティションとブート設定を調整し、BitLockerが起動していることを確認し、最終的にコンピューターのストレージを暗号化します。Microsoftの各オペレーティングシステムで具体的にどのように動作するかについては、Kasperskyのレポートをご覧ください。

さらに、このマルウェアはパーティションのラベルを恐喝者の電子メールに変更し、被害者が詐欺師に連絡できるようにします。

マルウェアは、暗号化されたドライブにアクセスするために必要な復号キーを犯罪者が管理するサーバーに送信した後、ローカルでキーを削除し、ユーザーの回復オプションと、ネットワーク防御者が攻撃をより簡単に発見または分析するのに役立つ可能性のあるシステムログを破棄します。

最後に、侵害されたシステムをシャットダウンし、「お使いの PC には BitLocker 回復オプションがもうありません」というメッセージを含む BitLocker 画面を表示します。ゲームオーバーです。

  • BitLocker パッチの失敗で Windows ユーザーは自力で対処せざるを得なくなった
  • 犯罪者がMicrosoft Quick Assistを悪用してBlack Bastaランサムウェアを展開
  • 研究者は、Windows Defenderがデータベースを削除するように騙される可能性があると主張している
  • マイクロソフトは、Exchange Onlineへの中国のサイバー攻撃につながったセキュリティの緩みを非難されている

カスペルスキーは、ShrinkLocker の侵害の兆候を列挙し、組織が脅威を探すためにマネージド検出および対応製品を使用することを提案するだけでなく、企業がこれらのランサムウェア感染の被害に遭わないための対策を講じることを推奨しています。

これには、ユーザー権限を制限し、暗号化機能の有効化やレジストリキーの変更を禁止することが含まれます。また、BitLocker を有効にしている場合は、強力なパスワードを使用し、回復キーを安全に保管してください。

また、VBScript および PowerShell 実行イベントを監視し、可能な限り多くの重要なシステム アクティビティを、ローカルでは削除できない外部リポジトリに記録します。

さらに、システムとファイルを頻繁にバックアップし、オフラインで保存して、ランサムウェアやその他のセキュリティ上の問題が発生した場合に回復できることを確認するために必ずテストしてください。®

追加更新

マイクロソフトは、「お客様には、セキュリティのベストプラクティスに従い、利用可能なすべての更新プログラムがインストールされ、最新の脅威保護が実行されていることを確認することをお勧めします」以外、これについて安心させるような発言は何もありませんでした。

PS: Windows リコールと暗号化されたスナップショットについてまだ満足していますか?

Benchmarks

Smart Recommendations

Discover More