Nowy ransomware wykorzystuje BitLockera do szyfrowania dysku

Jeden z kluczowych systemów bezpieczeństwa systemu Windows został wykorzystany w najnowszym oprogramowaniu typu ransomware.

Do sieci trafiły informacje o nowej rodzinie oprogramowania typu ransomware o nazwie ShrinkLocker. Do działania wykorzystuje ona BitLockera - wbudowaną w system operacyjny Windows funkcję szyfrowania danych.

Nowe oprogramowanie typu ransomware atakuje systemy z rodziny Windows
Źródło: Towfiqu barbhuiya / Unsplash

Nowe oprogramowanie typu ransomware atakuje systemy z rodziny Windows

Źródło: Towfiqu barbhuiya / Unsplash

BitLocker zadebiutował na rynku w 2007 roku wraz z systemem operacyjnym Windows Vista. Jest wykorzystywany w najnowszych wersjach Windowsa do szyfrowania dysków twardych z zainstalowanym systemem operacyjnym, aby uniemożliwić odczyt lub modyfikację danych w przypadku uzyskania fizycznego dostępu do nośnika.

Zobacz również:

  • Reinstalacja systemu Windows - z chmury czy lokalnie?
  • OpenBSD już ze wsparciem dla Qualcomm Snapdragon X Elite
  • Microsoft zamierza przedłużyć żywot systemu Windows 10

Systemy Windows 10 oraz Windows 11 wykorzystują szyftowanie XTS-AES z kluczem 128 lub 256-bitowym, aby zapewnić dodatkową ochronę przed atakami.

Badacze z firmy Kaspersky zajmującej się bezpieczeństwem odkryli zagrożenie wykorzystujące BitLockera do szyfrowania danych w systemach znajdujących się w Meksyku, Indonezji i Jordanii. Badacze nazwali nowy ransomware ShrinkLocker, zarówno ze względu na wykorzystanie BitLockera, jak i dlatego, że zmniejsza on rozmiar każdej partycji innej niż rozruchowa o 100 MB i dzieli nowo nieprzydzielone miejsce na nowe partycje podstawowe o tym samym rozmiarze.

"Nasza reakcja na incydenty i analiza złośliwego oprogramowania są dowodem na to, że atakujący stale udoskonalają swoje taktyki, aby uniknąć wykrycia." - napisali w piątek - 24 maja 2024 roku badacze z Kaspersky Lab. "W tym incydencie zaobserwowaliśmy nadużywanie natywnej funkcji BitLocker do nieautoryzowanego szyfrowania danych."

ShrinkLocker nie jest pierwszym złośliwym oprogramowaniem wykorzystującym BitLocker. W 2022 roku Microsoft poinformował, że atakujący powiązani z Iranem również używali tego narzędzia do szyfrowania plików. W tym samym roku rosyjska firma rolnicza Miratorg została zaatakowana przez oprogramowanie ransomware, które wykorzystywało BitLocker do szyfrowania plików znajdujących się w pamięci systemowej zainfekowanych urządzeń.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200