ReadyorNot
80+ Bronze
- Katılım
- 17 Ocak 2024
- Mesajlar
- 1,100
Dahası
- Reaksiyon skoru
- 343
- İsim
- An10im1i
Windowsu kendi silahıyla vurmak bu olsa gerek...
ShrinkLocker adı verilen yeni bir fidye yazılımı türü, Windows BitLocker'ı kullanarak kurumsal sistemleri şifrelemek için yeni bir önyükleme bölümü oluşturuyor.
Önyükleme dışı bölümleri daraltarak önyükleme hacmi oluşturduğu için bu adı alan ShrinkLocker, bir devlet kuruluşunu ve aşı ve imalat sektörlerindeki şirketleri hedeflemek için kullanılıyor.
Yeni önyükleme birimleri oluşturma
Bilgisayarları şifrelemek için BitLocker'ı kullanan fidye yazılımları yeni değil. Bir tehdit aktörü , Belçika'daki bir hastanedeki 40 sunucudaki 100 TB veriyi şifrelemek için Windows'un güvenlik özelliğini kullandı . Başka bir saldırgan bunu Moskova merkezli bir et üreticisi ve dağıtıcısının sistemlerini şifrelemek için kullandı .
Eylül 2022'de Microsoft, İran devleti destekli bir saldırganın Windows 10, Windows 11 veya Windows Server 2016 ve daha yenisini çalıştıran sistemleri şifrelemek için BitLocker'ı kullandığı konusunda uyardı.
Ancak Kaspersky, ShrinkLocker'ın "saldırının zararını en üst düzeye çıkarmak için daha önce bildirilmemiş özelliklerle" birlikte geldiğini söylüyor.
ShrinkLocker, Microsoft'un 1996'da tanıttığı bir dil olan Visual Basic Komut Dosyası (VBScript) ile yazılmıştır ve şu anda kullanımdan kaldırılma sürecindedir ; Windows 11, sürüm 24H2'den (şu anda yayın önizleme aşamasında) itibaren isteğe bağlı bir özellik olarak mevcuttur .
Yeteneklerinden biri, Win32_OperatingSystem sınıfıyla birlikte Windows Yönetim Araçları'nı (WMI) kullanarak hedef makinede çalışan belirli Windows sürümünü tespit etmektir.
Saldırı yalnızca hedefle eşleşen geçerli etki alanı ve Vista'dan daha yeni bir işletim sistemi (OS) sürümü gibi belirli parametreler karşılandığında devam eder. Aksi halde ShrinkLocker otomatik olarak tamamlanır ve kendini siler.
Hedef, saldırı gereksinimlerini karşılıyorsa kötü amaçlı yazılım, Windows'taki diskpart yardımcı programını kullanarak önyükleme yapılmayan her bölümü 100 MB kadar küçültür ve ayrılmamış alanı aynı boyuttaki yeni birincil birimlere böler.
ShrinkLocker 100 MB'lık bölümler oluşturuyor
kaynak: Kaspersky
Kaspersky araştırmacıları, Windows 2008 ve 2012'de ShrinkLocker fidye yazılımının ilk olarak diğer birimlerin dizinleriyle birlikte önyükleme dosyalarını da kaydettiğini söylüyor.
devamı kaynakta...
k:
www.bleepingcomputer.com
ShrinkLocker adı verilen yeni bir fidye yazılımı türü, Windows BitLocker'ı kullanarak kurumsal sistemleri şifrelemek için yeni bir önyükleme bölümü oluşturuyor.
Önyükleme dışı bölümleri daraltarak önyükleme hacmi oluşturduğu için bu adı alan ShrinkLocker, bir devlet kuruluşunu ve aşı ve imalat sektörlerindeki şirketleri hedeflemek için kullanılıyor.
Yeni önyükleme birimleri oluşturma
Bilgisayarları şifrelemek için BitLocker'ı kullanan fidye yazılımları yeni değil. Bir tehdit aktörü , Belçika'daki bir hastanedeki 40 sunucudaki 100 TB veriyi şifrelemek için Windows'un güvenlik özelliğini kullandı . Başka bir saldırgan bunu Moskova merkezli bir et üreticisi ve dağıtıcısının sistemlerini şifrelemek için kullandı .
Eylül 2022'de Microsoft, İran devleti destekli bir saldırganın Windows 10, Windows 11 veya Windows Server 2016 ve daha yenisini çalıştıran sistemleri şifrelemek için BitLocker'ı kullandığı konusunda uyardı.
Ancak Kaspersky, ShrinkLocker'ın "saldırının zararını en üst düzeye çıkarmak için daha önce bildirilmemiş özelliklerle" birlikte geldiğini söylüyor.
ShrinkLocker, Microsoft'un 1996'da tanıttığı bir dil olan Visual Basic Komut Dosyası (VBScript) ile yazılmıştır ve şu anda kullanımdan kaldırılma sürecindedir ; Windows 11, sürüm 24H2'den (şu anda yayın önizleme aşamasında) itibaren isteğe bağlı bir özellik olarak mevcuttur .
Yeteneklerinden biri, Win32_OperatingSystem sınıfıyla birlikte Windows Yönetim Araçları'nı (WMI) kullanarak hedef makinede çalışan belirli Windows sürümünü tespit etmektir.
Saldırı yalnızca hedefle eşleşen geçerli etki alanı ve Vista'dan daha yeni bir işletim sistemi (OS) sürümü gibi belirli parametreler karşılandığında devam eder. Aksi halde ShrinkLocker otomatik olarak tamamlanır ve kendini siler.
Hedef, saldırı gereksinimlerini karşılıyorsa kötü amaçlı yazılım, Windows'taki diskpart yardımcı programını kullanarak önyükleme yapılmayan her bölümü 100 MB kadar küçültür ve ayrılmamış alanı aynı boyuttaki yeni birincil birimlere böler.
kaynak: Kaspersky
Kaspersky araştırmacıları, Windows 2008 ve 2012'de ShrinkLocker fidye yazılımının ilk olarak diğer birimlerin dizinleriyle birlikte önyükleme dosyalarını da kaydettiğini söylüyor.
devamı kaynakta...
k:
New ShrinkLocker ransomware uses BitLocker to encrypt your files
A new ransomware strain called ShrinkLocker creates a new boot partition to encrypt corporate systems using Windows BitLocker.
