Kaspersky, Microsoft’un BitLocker şifreleme aracını kullanarak kurumsal dosyaları şifrelemeye çalışan fidye yazılımı saldırıları tespit etti.
Kaspersky Global Acil Durum Müdahale ekibinin bildirdiğine göre, tehdit aktörleri Windows bilgisayarlardaki görevleri otomatikleştirmek için kullanılan bir programlama dili olan VBScript’i kullanarak, saldırının zararını en üst düzeye çıkarmak için daha önce bildirilmemiş özelliklere sahip kötü amaçlı bir komut dosyası oluşturuyor. Buradaki yenilik, tehdidin sistemde yüklü olan mevcut Windows sürümünü kontrol etmesi ve BitLocker özelliklerini buna göre etkinleştirmesi. Bu şekilde tehdidin Windows Server 2008’e kadar yeni ve eski sistemlere bulaşabileceğine inanılıyor.
İşletim sistemi sürümünün saldırı için uygun olması durumunda, komut dosyası önyükleme ayarlarını değiştiriyor ve BitLocker kullanarak tüm sürücüleri şifrelemeye çalışıyor. Yeni bir önyükleme bölümü oluşturarak bilgisayarın sürücüsünde işletim sisteminin ön yüklenmesi için gerekli dosyaları içeren ayrı bir bölüm kuruyor. Bu eylem kurbanı daha sonraki bir aşamada kilitlemeyi amaçlıyor. Saldırganlar ayrıca BitLocker’ın şifreleme anahtarını güvence altına almak için kullanılan koruyucuları da siliyor, böylece kurban bunları kurtaramıyor.
Kötü amaçlı komut dosyası daha sonra sistem hakkındaki bilgileri ve ele geçirilen bilgisayarda oluşturulan şifreleme anahtarını tehdit aktörü tarafından kontrol edilen sunucuya gönderiyor. Ardından ipucu niteliğinde olan ve saldırının araştırılmasına yardımcı olabilecek günlük kayıtlarını ve çeşitli dosyaları silerek izini kapatıyor.
Son adımda kötü amaçlı yazılım sistemi kapatmaya zorluyor ki, bu ayrı bir önyükleme bölümünde dosyaların oluşturulması ve yeniden yüklenmesi ile sağlanan bir yetenek. Kurban BitLocker ekranında şu mesajı görüyor: “Bilgisayarınızda artık BitLocker kurtarma seçeneği mevcut değil”.
