Эксперты «Лаборатории Касперского» обнаружили атаки на корпоративные устройства, в которых применяется новая программа-вымогатель, использующая шифрование Windows BitLocker.
Злоумышленники создали вредоносный скрипт на VBScript, который проверяет установленную на устройстве версию Windows и, в зависимости от этого, активирует функционал BitLocker. Программа может заражать как новые, так и старые версии ОС, включая Windows Server 2008.
Скрипт изменяет параметры загрузки ОС, а затем пытается зашифровать разделы жёсткого диска, используя BitLocker. Создаётся новый загрузочный раздел, чтобы можно было загрузить зашифрованный компьютер в будущем. Злоумышленники также устраняют инструменты безопасности, которые используются для защиты ключа шифрования BitLocker, чтобы пользователь не смог их восстановить.
Далее вредоносный скрипт отправляет информацию о системе и сгенерированный ключ шифрования на сервер злоумышленников. Затем он удаляет логи и различные файлы, которые могли бы помочь в исследовании атаки, тем самым заметая следы.
На заключительном этапе вредоносная программа блокирует доступ в систему. Жертве показывается сообщение: «На вашем компьютере нет вариантов восстановления BitLocker».
Чтобы снизить риски, эксперты рекомендуют:
- использовать комплексное защитное решение для оперативного обнаружения и реагирования на угрозы;
- ограничить привилегии корпоративных пользователей, чтобы предотвратить несанкционированную активацию функционала шифрования и изменение ключей реестра;
- вести регистрацию и мониторинг сетевого трафика, включая GET- и POST-запросы, так как в случае заражения системы пароли и ключи шифрования могут передаваться на домены злоумышленников;
- отслеживать события, связанные с VBScript и PowerShell, и сохранять зарегистрированные скрипты и команды во внешнем репозитории, чтобы иметь возможность восстановить их в случае локального удаления;
- проводить анализ инцидентов для выявления начального вектора атак и предотвращения подобных атак в будущем.