Cybersicherheitsforscher haben eine neue Ransomware-Variante entdeckt, die Windows BitLocker missbraucht, um Opfer von ihren Geräten auszusperren.
Wie BleepingComputer berichtet, hat Kaspersky die neue Ransomware ShrinkLocker genannt, weil sie nach dem Angriff verfügbare Nicht-Boot-Partitionen um 100 MB verkleinert und neue primäre Boot-Volumes derselben Größe erstellt. Anschließend verwendet sie BitLocker, eine Funktion zur vollständigen Festplattenverschlüsselung, die in einigen Versionen von Microsoft Windows enthalten ist, um die Dateien auf dem Zielendpunkt zu verschlüsseln.
Bisher waren davon Regierungsbehörden sowie Unternehmen der Fertigungs- und Pharmaindustrie betroffen.
Maximaler Schaden
Für Uneingeweihte: BitLocker ist eine legitime Windows-Funktion, die zum Schutz von Daten durch Verschlüsselung ganzer Datenträger entwickelt wurde.
ShrinkLocker ist nicht die erste Ransomware-Variante, die BitLocker zur Verschlüsselung der Systeme verwendet. BleepingComputer betonte, dass ein Krankenhaus in Belgien von einer Ransomware-Variante befallen wurde, die BitLocker verwendete, um 100 TB Daten auf 40 Servern zu verschlüsseln, und im Jahr 2022 erlitt ein Fleischproduzent und -händler in Russland namens Miratorg Holding ein ähnliches Schicksal.
ShrinkLocker verfüge aber auch „über bislang nicht gemeldete Funktionen, um den Schaden des Angriffs zu maximieren“, warnte Kaspersky.
Unter anderem hinterlässt der Verschlüsseler keine Lösegeldforderung, wie es sonst üblich ist. Stattdessen kennzeichnet er neue Bootpartitionen als E-Mail-Adressen und lädt die Opfer wahrscheinlich dazu ein, auf diesem Weg zu kommunizieren.
Darüber hinaus löscht die Ransomware nach der erfolgreichen Verschlüsselung alle BitLocker-Schutzmechanismen, sodass die Opfer keine Möglichkeit haben, den BitLocker-Verschlüsselungsschlüssel wiederherzustellen. Die einzigen Personen, die den Schlüssel besitzen, sind die Angreifer, die ihn über TryCloudflare erhalten. Dies ist auch ein legitimes Tool, mit dem Entwickler den Tunnel von CloudFlare testen können, ohne eine Site zum DNS von CloudFlare hinzufügen zu müssen.
Bisher haben die ungenannten Bedrohungsakteure Systeme von Stahl- und Impfstoffherstellern in Mexiko, Indonesien und Jordanien kompromittiert.
