'ShrinkLocker' 랜섬웨어는 BitLocker를 사용합니다. 암호화를 요구하는 악성 코드는 이미 정부를 대상으로 사용되었습니다

번역기만 돌린거라 오역이 있을 수 있으며 자세한 내용은 원문을 참고하세요.

현재로서는 기업용 PC가 유일한 목표입니다

BitLocker는 새로운 "ShrinkLocker" 랜섬웨어 공격으로 다시 무기화되었습니다. 이 공격은 새로운 방법을 사용하여 기존의 BitLocker 공격을 이전보다 더 광범위하고 위험하게 만들며 이미 정부와 제조 산업을 대상으로 사용되었습니다.

Kaspersky Anti-Virus 및 동급 최고의 맬웨어 연구로 유명한 Kaspersky는 지금까지 기업 PC 에 대해서만 멕시코, 인도네시아 및 요르단에서 새로운 변종을 식별했습니다 . 기업 환경에서 일반적으로 사용되는 PC 하드 드라이브를 암호화하는 선택적 Windows 기능인 BitLocker를 사용한 공격은 새로운 것이 아닙니다. 그러나 ShrinkLocker는 새로운 혁신 덕분에 독특합니다.

ShrinkLocker는 Windows 11 24H2 부터 더 이상 사용되지 않는 오래된 Windows 프로그래밍 스크립트인 VBScript를 사용하여 호스트 PC에서 사용되는 특정 Windows OS를 식별합니다. 그런 다음 악성 스크립트가 운영 체제별 BitLocker 설정을 통해 실행되고 Vista 또는 Windows Server 2008 이상을 실행하는 모든 PC에서 그에 따라 BitLocker를 활성화합니다. OS가 너무 오래된 경우 ShrinkLocker는 추적 없이 스스로 삭제됩니다.

그런 다음 ShrinkLocker는 모든 드라이브 파티션을 100MB만큼 축소하고 훔친 공간을 사용하여 새 부팅 파티션을 생성하므로 "Shrink" Locker가 됩니다. ShrinkLocker는 또한 암호화 키를 보호하는 데 사용된 모든 보호기를 삭제하여 나중에 피해자가 복구할 수 없도록 만듭니다. 이 스크립트는 새로운 무작위 64자 암호화 키를 생성하고, 이 키와 컴퓨터에 대한 기타 정보를 공격자에게 보내고, ShrinkLocker의 활동이 저장된 로그를 삭제한 다음, 새로 생성된 부팅 파티션을 사용하여 마지막으로 PC를 강제 종료합니다. PC의 모든 드라이브를 완전히 잠그고 암호화합니다. 이제 PC와 그 안에 있는 모든 데이터 바이트를 완전히 사용할 수 없습니다.

공격으로 인해 목표물은 하드 드라이브용 벽돌로 인해 허둥대게 됩니다. ShrinkLocker 공격의 창시자는 거의 흔적을 남기지 않는 공격을 만들기 위해 다양한 모호한 Windows 내부 및 유틸리티에 대한 "광범위한 이해"를 갖고 있었음에 틀림없습니다. Kaspersky 전문가들은 공격의 소스나 정보가 전송된 소스를 식별할 수 있는 방법을 찾을 수 없었지만 BitLocker가 구성되지 않은 영향을 받는 한 PC의 단일 드라이브에 남아 있는 ShrinkLocker 스크립트를 발견했습니다.

랜섬웨어 공격의 경우, 공격자는 문제의 몸값을 어디로 보낼지 쉽게 찾을 수 없도록 했습니다. 스크립트는 새 부팅 파티션의 이름을 공격자의 이메일로 변경하지만 이를 발견하려면 단순히 BitLocker 복구 화면을 편집하는 것보다 더 많은 조사가 필요하며, 이 수준의 해커에게는 충분히 쉬운 작업입니다. 이로 인해 공격은 몸값보다 중단 및 데이터 파괴에 더 중점을 둘 가능성이 높습니다.