BitLocker, yeni “ShrinkLocker” fidye yazılımı saldırısıyla yeniden silah haline getirildi. Saldırı, klasik BitLocker saldırısını her zamankinden daha yaygın ve tehlikeli hale getirmek için yeni yöntemler kullanıyor ve halihazırda hükümetlere ve imalat endüstrilerine karşı kullanılıyor.
Kaspersky Anti-Virus ve sınıfında lider kötü amaçlı yazılım araştırmalarıyla tanınan Kaspersky, Meksika, Endonezya ve Ürdün’deki yeni türü şu ana kadar yalnızca kurumsal bilgisayarlarda tespit etti. Kurumsal dünyada yaygın olarak kullanılan bilgisayar sabit disklerini şifreleyen isteğe bağlı bir Windows özelliği olan BitLocker’ı kullanan saldırılar yeni değil. Ancak ShrinkLocker, yeni yenilikleri sayesinde benzersizdir.
ShrinkLocker, ana bilgisayar tarafından kullanılan belirli Windows işletim sistemini tanımlamak için Windows 11 24H2’den itibaren kullanımdan kaldırılacak eski bir Windows programlama komut dosyası olan VBScript’i kullanır. Daha sonra kötü amaçlı bir komut dosyası, işletim sistemine özel BitLocker kurulumu üzerinden çalıştırılır ve Vista veya Windows Server 2008 veya daha yenisini çalıştıran herhangi bir bilgisayarda BitLocker’ı uygun şekilde etkinleştirir. İşletim sistemi çok eskiyse ShrinkLocker hiçbir iz bırakmadan kendini siler.
ShrinkLocker daha sonra tüm sürücü bölümlerini 100 MB kadar küçültür ve çalınan alanı yeni bir önyükleme bölümü oluşturmak için kullanır, dolayısıyla “Shrink” Locker. ShrinkLocker ayrıca şifreleme anahtarını güvence altına almak için kullanılan tüm koruyucuları da silerek anahtarı daha sonra kurban tarafından kurtarılamaz hale getirir. Komut dosyası, rastgele 64 karakterlik yeni bir şifreleme anahtarı oluşturur, onu ve bilgisayar hakkındaki diğer bilgileri saldırgana gönderir, ShrinkLocker’ın etkinliğini depolayan günlükleri siler ve son olarak yeni oluşturulan önyükleme bölümünü kullanarak bilgisayarı kapatmaya zorlar. PC’deki tüm sürücüleri tamamen kilitleyin ve şifreleyin. PC ve içindeki her bayt veri artık tamamen kullanılamaz durumda.
Saldırı, hedeflerini sabit diskler için tuğlalarla bocalamaya bırakıyor. ShrinkLocker saldırısının yaratıcısı, saldırıyı gerçekleştirmek için neredeyse hiç iz bırakmayan çeşitli Windows dahili bileşenleri ve yardımcı programları hakkında “kapsamlı bir anlayışa” sahip olmalı. Kaspersky uzmanları, saldırının kaynağını veya bilgilerin gönderildiği kaynağı belirlemenin herhangi bir yolunu bulamadılar ancak etkilenen bir bilgisayarın BitLocker’ı yapılandırmamış tek sürücüsünde ShrinkLocker komut dosyasının geride kaldığını buldular.
Fidye yazılımı saldırısı için saldırganın söz konusu fidyeyi nereye göndereceğini bulmasını da kolaylaştırmadı. Komut dosyası, yeni önyükleme bölümlerinin adını saldırganın e-posta adresiyle değiştirir, ancak bu, BitLocker kurtarma ekranını düzenlemekten daha fazla araştırma gerektirir; bu, bu çaptaki bir bilgisayar korsanı için yeterince kolay bir görevdir. Bu durum, saldırının fidyeden ziyade kesintiye ve veri imhasına odaklanmış olabileceğini gösteriyor.
BT uzmanları bu saldırılara yönelik hafifletme adımlarına zaten aşinadır: Sık sık yedekleme yapın, kullanıcıların düzenleme ayrıcalıklarını, BitLocker ayarlarını veya kayıtlarını düzenleyemeyecek şekilde kısıtlayın ve ağınızı izlemek ve güvenliğini sağlamak için üst düzey EPP veya MDR çözümleri arayın. Kaspersky’nin saldırıya ilişkin teknik raporunda bunun için kendi ürünlerini önerdiği açıkça görülüyor.
Saldırının ve ShrinkLocker komut dosyasının tüm ayrıntıları için Kaspersky şunları söyledi: tam bir teknik analiz. BitLocker şu anda yalnızca “Pro” veya kurumsal Windows sürümlerinin bir özelliği olsa da Microsoft, BitLocker’ı Windows 11 24H2’den başlayarak tüm kullanıcılar için etkinleştirecek ve yeniden yükleme sırasında otomatik olarak etkinleştirecektir; bu nedenle, bireysel bilgisayar dünyasına geçiş yapan BitLocker saldırılarına karşı dikkatli olun.
