Kaspersky tərəfindən qanuni “Windows” funksiyası vasitəsilə cihazlara hücum edən fidyə proqramı aşkarlayıb
Kaspersky-nin kiberinsidentlərə reaksiya üzrə qlobal qrupunun (Kaspersky GERT) mütəxəssisləri “BitLocker”dən istifadə edən yeni fidyə proqramı vasitəsilə korporativ cihazlara qarşı təşkil edilən hücumlar aşkar ediblər. Bu, “Windows” əməliyyat sistemində şifrələmədən istifadə edərək məlumatları qorumağa imkan verən təhlükəsizlik funksiyasıdır. Zərərli proqram “ShrinkLocker” adlanır. Hədəflər sənaye və əczaçılıq şirkətləri, eləcə də dövlət qurumları olub.
Təcavüzkarlar “Windows” ilə işləyən kompüterlərdə tapşırıqların avtomatlaşdırılması üçün istifadə edilən proqramlaşdırma dili “VBScript”in bazasında zərərli skript yaradıblar. Bu skript cihazda hansı “Windows” versiyasının quraşdırıldığını yoxlayır və müvafiq olaraq “BitLocker” funksiyasını aktivləşdirir. Zərərli proqram “Windows Server 2008”ə qədər əməliyyat sisteminin həm yeni, həm də köhnə versiyalarına qədər yoluxdura bilər.
Skript əməliyyat sisteminin yüklənmə parametrlərini dəyişir və sonra “BitLocker”dən istifadə edərək sərt disk bölmələrini şifrələməyə çalışır. Şifrələnmiş kompüteri daha sonra yükləyə bilmək üçün yeni yükləmə bölməsi yaradılır. Təcavüzkarlar həmçinin “BitLocker” şifrələmə açarını qorumaq üçün istifadə edilən təhlükəsizlik alətlərini də silirlər ki, istifadəçi daha sonra onları bərpa edə bilməsin.
Daha sonra zərərli skript sistem haqqında məlumatı və yoluxmuş kompüterdə yaradılan şifrələmə açarını təcavüzkarların serverinə göndərir. Bundan sonra, o, “izlərini itirir”: hücumun araşdırılmasına kömək edə biləcək qeydləri və müxtəlif faylları silir.
Son mərhələdə zərərli proqram sistemə girişi məcburi şəkildə bloklayır. Qurban ekranda bir mesaj görür: “Kompüterinizdə BitLocker bərpa variantları yoxdur.”
Sistemə giriş bloklandıqdan sonra qurbanın ekranında peyda olan mesaj
Kaspersky mütəxəssisləri zərərli skriptə “ShrinkLocker” (ingilis dilində “shrink” – azaltmaq) adını veriblər. O, hücumlar zamanı sabit disk bölmələrinin parametrlərinin dəyişdirilməsi əsas rol oynayır: bu, təcavüzkarlara sistemi şifrələnmiş fayllarla yükləmək imkanı verir.
“Hücumlar ilkin olaraq məlumatlara icazəsiz girişin qarşısını almaq üçün yaradılmış ‘BitLocker’ alətindən istifadə edib. Bu müdafiə aləti təcavüzkarların əlində silaha çevrilib. ‘BitLocker’ istifadə edən şirkətlər güclü şifrələrdən istifadə etməli və girişi bərpa etmək üçün istifadə edilən açarlarını təhlükəsiz saxlamalıdırlar. Vacib məlumatların ehtiyat nüsxəsini çıxarmaq da vacibdir. Hücumu erkən mərhələdə aşkarlamaq üçün MDR və ya EDR sinif həllərindən istifadə etməyi və əlbəttə ki, gələcəkdə oxşar hadisələrin təkrarlanmasını aradan qaldırmaq üçün ilkin hücum vektorunu müəyyən etmək üçün bütün insidentləri araşdırmağı tövsiyə edirik”, – deyə Kaspersky-nin kiberinsidentlərə reaksiya üzrə qlobal qrupunun rəhbəri Konstantin Sapronov bildirir.
Riskləri azaltmaq üçün Kaspersky mütəxəssisləri tövsiyə edirlər:
• mürəkkəb hücumlar da daxil olmaqla təhdidləri tez aşkar etmək və onlara cavab vermək üçün hərtərəfli təhlükəsizlik həllindən, məsələn, Kaspersky Managed Detection and Response və Kaspersky Extended Detection and Response həllərindən stifadə edin;
• şifrələmə funksiyalarının icazəsiz aktivləşdirilməsinin, habelə reyestr açarlarının dəyişdirilməsinin qarşısını almaq üçün korporativ istifadəçilərin imtiyazlarını məhdudlaşdırın;
• “GET” və “POST” sorğuları da daxil olmaqla şəbəkə trafikini qeyd edin və nəzarət edin, çünki sistemin yoluxması nəticəsində şifrələr və şifrələmə açarları təcavüzkarların domenlərinə ötürülə bilər;
• “VBScript” və “PowerShell” ilə əlaqəli hadisələrə nəzarət edin və yerli silinmə halında onların aktiv qalmasını təmin etmək üçün qeydiyyatdan keçmiş skriptləri və əmrləri xarici depoda saxlayın;
• ilkin hücum vektorunu müəyyən etmək və gələcəkdə oxşar hücumların qarşısını almaq üçün insident təhlili aparın.
