اكتشفت كاسبرسكي هجمات برامج فدية تستخدم BitLocker من Microsoft لمحاولة تشفير ملفات الشركات. حيث تزيل مصادر التهديد خيارات الاسترداد لمنع استعادة الملفات، وتستخدم نصاً برمجياً خبيثاً مع ميزة جديدة تمكنه من اكتشاف إصدارات نظام Windows محددة وتمكين BitLocker وفقاً للإصدار.
وسميت هذه البرمجية «ShrinkLocker»، وقد تم ملاحظتها مع مشتقاتها في المكسيك وإندونيسيا والأردن. واستهدف الجناة شركات في صناعات الصلب واللقاحات، وجهة حكومية.
لغة البرمجة
وفقاً لتقارير فريق كاسبرسكي للاستجابة للطوارئ العالمية، تستعمل مصادر التهديد لغة VBScript – وهي لغة برمجة تستخدم لأتمتة المهام على أجهزة الحاسوب العاملة بنظام Windows – لإنشاء نص برمجي خبيث بميزات غير معروفة مسبقاً لزيادة الضرر الناجم عن الهجوم إلى أقصى حد. لكن الجديد هو أن النص البرمجي يتحقق من الإصدار الحالي المثبت من نظام Windows ويفعّل ميزات BitLocker وفقاً لذلك. وبهذه الطريقة، يُعتقد أن البرنامج النصي قادر على إصابة الأنظمة الجديدة والقديمة بداية من نظام Windows Server 2008.
عندما يكون إصدار نظام التشغيل ملائماً للهجوم، يغيّر النص البرمجي إعدادات الإقلاع ويحاول تشفير محركات الأقراص بأكملها باستخدام BitLocker. فينشئ تقسيمة إقلاع جديدة، أي أنه يعد قسماً منفصلاً على وحدة تخزين الحاسوب المتضمن ملفات لإقلاع نظام التشغيل. ويهدف هذا الإجراء إلى تقييد الضحية في مرحلة لاحقة. كذلك، قام المهاجمون بحذف الحماية المستخدمة لتأمين مفتاح تشفير BitLocker حتى لا يتمكن الضحية من استعادتها.
الحاسوب المخترق
ويرسل النص البرمجي الخبيث معلومات حول النظام ومفتاح التشفير الذي أُنشئ على الحاسوب المخترق إلى الخادم الذي يتحكم فيه مصدر التهديد. بعد ذلك، يغطي مساراته عن طريق حذف السجلات والملفات المختلفة التي تعمل كتلميح وتساعد في التحقيق في الهجوم.
تفاصيل الرسالة
وتفرض البرمجيات الخبيثة إيقاف تشغيل النظام – وهي قدرة يجري تسهيلها من خلال إنشاء الملفات وإعادة تثبيتها في تقسيمة إقلاع منفصلة. ترى الضحية شاشة BitLocker مع هذه الرسالة: «لا توجد خيارات استرداد BitLocker أخرى على حاسوبك.»
أطلقت كاسبرسكي على النص البرمجي تسمية «ShrinkLocker» لأن هذا الاسم يسلط الضوء على الإجراء الخطير لتغيير حجم القسم، والذي كان ضرورياً للمهاجم لضمان تمهيد النظام بشكل صحيح مع الملفات المشفرة.