«Касперский зертханасы» Windows-тың заңды функциясын қолдана отырып, құрылғыларға шабуыл жасайтын төлем бағдарламасын тапты

Касперский Зертханасының (Kaspersky GERT) жаһандық киберқауіпсіздікке қарсы әрекет ету тобының сарапшылары BitLocker қолданатын жаңа төлем бағдарламасы арқылы корпоративтік құрылғыларға шабуылдар тапты. Бұл Windows жүйесіндегі деректерді шифрлау арқылы қорғауға мүмкіндік беретін қауіпсіздік мүмкіндігі. Зиянды бағдарлама Shrink Locker деп аталды. Мақсаты өнеркәсіптік және фармацевтикалық компаниялар, сондай-ақ мемлекеттік мекемелер болды.

Зиянкестер Windows жұмыс істейтін компьютерлерде тапсырмаларды автоматтандыру үшін қолданылатын VBScript бағдарламалау тілінде зиянды сценарий жасады. Бұл сценарий құрылғыда Windows-тың қай нұсқасы орнатылғанын тексереді және оған сәйкес BitLocker функционалдығын іске қосады. Зиянды бағдарлама ОЖ — нің жаңа және ескі нұсқаларын-Windows Server 2008-ге дейін жұқтыруы мүмкін.

Сценарий ОЖ жүктеу параметрлерін өзгертеді, содан кейін BitLocker көмегімен қатты диск бөлімдерін шифрлауға тырысады. Шифрланған компьютерді кейінірек жүктеу үшін жаңа жүктеу бөлімі жасалады. Сондай-ақ, зиянкестер BitLocker шифрлау кілтін қорғау үшін қолданылатын қауіпсіздік құралдарын жояды, осылайша пайдаланушы оларды кейінірек қалпына келтіре алмайды.

Әрі қарай, зиянды сценарий шабуылдаушылардың серверіне жүйе туралы ақпаратты және вирус жұққан компьютерде жасалған шифрлау кілтін жібереді. Осыдан кейін ол» іздерді байқайды»: шабуылды зерттеуге көмектесетін журналдар мен әртүрлі файлдарды жояды.

Соңғы кезеңде зиянды бағдарлама жүйеге кіруді мәжбүрлейді. Жәбірленуші экранда «Компьютеріңізде BitLocker қалпына келтіру опциялары жоқ» деген хабарды көреді.

Жүйеге кіруді бұғаттағаннан кейін жәбірленушінің экранында пайда болатын хабарлама

«Касперский зертханасының» сарапшылары зиянды сценарийге ShrinkLocker атауын берді (ағылш. shrink-азайту). Шабуылдар кезінде қатты диск бөлімдерінің параметрлерін өзгерту маңызды рөл атқарады: бұл шабуылдаушыларға жүйені шифрланған файлдармен жүктеу мүмкіндігін береді.

«Шабуылдар үшін BitLocker қолданылды-бұл бастапқыда деректерге рұқсатсыз қол жеткізуді болдырмау үшін жасалған құрал. Қорғаныс құралы зиянкестердің қолындағы қаруға айналды. BitLocker пайдаланатын компаниялар күшті құпия сөздерді пайдаланып, кіруді қалпына келтіру үшін кілттерді қауіпсіз сақтауы керек. Маңызды деректердің сақтық көшірмесін жасауды ұйымдастыру да маңызды. Біз MDR немесе EDR класындағы шешімдерді ерте анықтау үшін қолдануды ұсынамыз және, әрине, болашақта осындай оқиғалардың қайталануын жою үшін шабуылдың бастапқы векторын анықтау үшін барлық оқиғаларды тергеуді ұсынамыз», ― деп түсіндіреді «Касперский зертханасы»компьютерлік оқиғаларға жауап беру жөніндегі жаһандық топтың жетекшісі Константин Сапронов.

Тәуекелдерді азайту үшін Касперский зертханасының мамандары мыналарды ұсынады:

• қауіптерді, соның ішінде күрделі қауіптерді жедел анықтау және оларға жауап беру үшін Kaspersky Managed Detection and Response және Kaspersky Extended Detection and Response сияқты кешенді қорғаныс шешімін пайдалану;
• элемент шифрлау функционалдығын рұқсатсыз белсендіруге, сондай-ақ тізілім кілттерін өзгертуге жол бермеу үшін кәсіпорын пайдаланушыларының артықшылықтарын шектеңіз;
• желілік трафикті тіркеу және оның мониторингін жүргізу, соның ішінде GET-және post-сұраулар, өйткені жүйені жұқтыру нәтижесінде парольдер мен шифрлау кілттері шабуылдаушылардың домендеріне берілуі мүмкін;
• VBScript және PowerShell-ге қатысты оқиғаларды қадағалаңыз және жергілікті жойылған жағдайда олардың белсенділігін қамтамасыз ету үшін тіркелген сценарийлер мен командаларды сыртқы репозиторийде сақтаңыз;
• шабуылдардың бастапқы векторын анықтау және болашақта осындай шабуылдардың алдын алу үшін оқиғаларға талдау жасаңыз.