Защитник-предатель: почему BitLocker стал союзником хакеров?

Компания Bitdefender представила дешифратор для шифровальщика ShrinkLocker, который ранее вызвал беспокойство у специалистов по реагированию на инциденты из-за растущего числа атак.

Вместе с дешифратором компания опубликовала исследование, объясняющее, как работает вирус. ShrinkLocker использует встроенную функцию Windows — BitLocker, чтобы шифровать файлы и отключать любые возможности восстановления системы. В отличие от других шифровальщиков, которые используют сложные алгоритмы, ShrinkLocker использует легитимный инструмент для шифрования данных, что позволяет ему быстро зашифровывать целые диски, включая системные.

Работа над дешифратором началась после расследования атаки на медицинскую организацию на Ближнем Востоке. Хакеры скомпрометировали неуправляемое устройство, а затем проникли в сеть компании, где развернули ShrinkLocker.

Впервые данная угроза была зафиксирована весной, когда несколько компаний предупредили о применении ShrinkLocker хакерами. Лаборатория Касперского обнаружила случаи использования ShrinkLocker в мае в Мексике, Индонезии и Иордании. Среди пострадавших оказались предприятия сталелитейной промышленности, фармацевтические компании и государственные учреждения.

ShrinkLocker проверяет, установлен ли BitLocker на устройстве. Если нет — загружает его и настраивает самостоятельно. Затем программа шифрует диск с помощью случайного пароля, который отправляется на сервер злоумышленников. Когда компьютер перезагружается, пользователю нужно ввести этот пароль, чтобы разблокировать диск. На экране также появляется электронный адрес злоумышленников для связи и оплаты выкупа.

По данным Bitdefender, ShrinkLocker может зашифровывать сразу несколько систем за 10 минут на каждое устройство. Простота использования делает этот инструмент привлекательным для начинающих хакеров, которые не хотят связываться с более сложными схемами типа «вымогательство как услуга» (Ransomware-as-a-Service, RaaS). Исследователи также отметили, что низкий порог входа позволяет многим злоумышленникам легко адаптировать вирус под свои цели.

Вредоносное ПО активно используется для менее сложных атак и ориентировано на устаревшие операционные системы, такие как Windows 7 и 8, а также серверные версии Windows Server 2008 и 2012. Специалисты Bitdefender предложили настроить BitLocker так, чтобы все ключи хранились в Active Directory — это может предотвратить такие атаки, ведь без доступа к ключам хакеры не смогут завершить шифрование.