Güvenlik uzmanlarına göre, tehdit aktörleri şimdi dosyaların geri yüklenmesini engellemek için kurtarma seçeneklerini kaldırıyor ve yeni özelliklere sahip kötü amaçlı bir komut dosyası kullanıyorlar. Bu fidye yazılımının adı “ShrinkLocker” ve benzeri vakaların Meksika, Endonezya ve Ürdün’de görüldüğü belirtiliyor. Bu saldırılardan bazıları çelik ve aşı üretimi yapan şirketleri ve bir kamu kurumunu hedef almış.
Kaspersky Global Acil Durum Müdahale ekibine göre, tehdit aktörleri Windows bilgisayarlardaki görevleri otomatikleştirmek için VBScript’i kullanarak, daha önce bildirilmemiş özelliklere sahip kötü amaçlı bir komut dosyası oluşturuyor. Bu komut dosyası, sistemin Windows sürümünü algılayıp buna göre BitLocker’ı etkinleştirme özelliğine sahip. Saldırganlar, uygun bir işletim sistemi sürümü tespit ederse komut dosyası önyükleme ayarlarını değiştiriyor ve tüm sürücüleri şifrelemeye çalışıyor. Ayrıca, şifreleme anahtarını koruyucuları da silerek kurbanın dosyalarını kurtaramamasını sağlıyorlar.
Kötü amaçlı komut dosyası daha sonra ele geçirilen bilgisayar hakkındaki bilgileri ve şifreleme anahtarını saldırganın kontrol ettiği bir sunucuya gönderiyor ve ardından izini kapatmak için ipucu niteliğinde olan dosyaları siliyor.
Son adımda, kötü amaçlı yazılım sistemi kapatmaya zorluyor ve kurbanların ekranında şu mesajı görünüyor: “Bilgisayarınızda artık BitLocker kurtarma seçeneği mevcut değil”. Kaspersky, bu komut dosyasını “ShrinkLocker” olarak adlandırıyor ve güvenlik önlemleri almaları konusunda uyarıda bulunuyor.
Kaspersky Global Acil Durum Müdahale Ekibi Olay Müdahale Uzmanı Cristian Souza, “Bu vakada endişe verici olan şey, veri hırsızlığı veya ifşa risklerini azaltmak için tasarlanan BitLocker’ın saldırganlar tarafından kötü niyetli amaçlar için kullanılmasıdır” diyor ve şirketlerin güvenliği için önlemler alınması gerektiğini vurguluyor.
Olayın teknik analizi Securelist’te yer almaktadır ve Kaspersky, kötüye kullanım önlemleri konusunda öneriler sunmaktadır. Bu önlemler arasında güvenlik yazılımlarının kullanılması, kullanıcı ayrıcalıklarının sınırlandırılması ve ağ trafiğinin izlenmesi yer almaktadır.
News
