BUKAREST / MÜNCHEN (IT BOLTWISE) – Bitdefender hat ein kostenloses Entschlüsselungstool veröffentlicht, das Opfern des ShrinkLocker-Ransomwares hilft, ihre Daten wiederherzustellen.
Die rumänische Cybersicherheitsfirma Bitdefender hat ein kostenloses Entschlüsselungstool veröffentlicht, das Opfern des ShrinkLocker-Ransomwares hilft, ihre Daten wiederherzustellen. Diese Entwicklung ist das Ergebnis einer umfassenden Analyse der Funktionsweise von ShrinkLocker, die es den Forschern ermöglichte, ein spezifisches Zeitfenster für die Datenwiederherstellung unmittelbar nach der Entfernung der Schutzmaßnahmen von BitLocker-verschlüsselten Festplatten zu entdecken.
ShrinkLocker wurde erstmals im Mai 2024 von Kaspersky dokumentiert, das die Verwendung des nativen BitLocker-Dienstprogramms von Microsoft zur Verschlüsselung von Dateien als Teil von Erpressungsangriffen auf Mexiko, Indonesien und Jordanien feststellte. Es scheint, dass der Schadcode von einem zehn Jahre alten, harmlosen Code adaptiert wurde. Bitdefender, das einen ShrinkLocker-Vorfall untersuchte, der ein ungenanntes Gesundheitsunternehmen im Nahen Osten betraf, erklärte, dass der Angriff wahrscheinlich von einem Gerät eines Auftragnehmers ausging, was erneut zeigt, wie Bedrohungsakteure zunehmend vertrauenswürdige Beziehungen ausnutzen, um in die Lieferkette einzudringen.
Im nächsten Schritt bewegte sich der Bedrohungsakteur lateral zu einem Active Directory-Domänencontroller, indem er legitime Anmeldedaten für ein kompromittiertes Konto nutzte, gefolgt von der Erstellung von zwei geplanten Aufgaben zur Aktivierung des Ransomware-Prozesses. Während die erste Aufgabe ein Visual Basic Script (“Check.vbs”) ausführte, das das Ransomware-Programm auf jeden domänenverbundenen Rechner kopierte, führte die zweite Aufgabe – zwei Tage später geplant – die lokal bereitgestellte Ransomware (“Audit.vbs”) aus. Der Angriff, so Bitdefender, verschlüsselte erfolgreich Systeme, die Windows 10, Windows 11, Windows Server 2016 und Windows Server 2019 ausführen.
Die verwendete ShrinkLocker-Variante wird als eine modifizierte Version der ursprünglichen Version beschrieben. Obwohl einfach, ist die Ransomware effektiv und zeichnet sich dadurch aus, dass sie in VBScript geschrieben ist, einer Skriptsprache, die Microsoft ab der zweiten Hälfte des Jahres 2024 depreziert. Anstatt einen eigenen Verschlüsselungsalgorithmus zu implementieren, nutzt die Malware BitLocker, um ihre Ziele zu erreichen. Das Skript ist so konzipiert, dass es Informationen über die Systemkonfiguration und das Betriebssystem sammelt, bevor es versucht zu überprüfen, ob BitLocker bereits auf einem Windows Server installiert ist, und falls nicht, installiert es dieses mit einem PowerShell-Befehl und führt dann einen “erzwungenen Neustart” mit Win32Shutdown durch.
Bitdefender stellte jedoch einen Fehler fest, der dazu führt, dass diese Anforderung mit einem “Privilege Not Held”-Fehler fehlschlägt, wodurch das VBScript in einer Endlosschleife stecken bleibt, da der Neustartversuch nicht erfolgreich ist. “Selbst wenn der Server manuell neu gestartet wird (z. B. durch einen ahnungslosen Administrator), hat das Skript keinen Mechanismus, um seine Ausführung nach dem Neustart fortzusetzen, was bedeutet, dass der Angriff unterbrochen oder verhindert werden kann”, sagte Martin Zugec, technischer Lösungsdirektor bei Bitdefender. Der Cybersecurity-Anbieter teilte The Hacker News mit, dass der Fehler in allen Varianten von ShrinkLocker vorhanden ist, sich jedoch nur in bestimmten älteren Betriebssystemen manifestiert.
Das Ransomware-Skript ist auch so konzipiert, dass es ein zufälliges Passwort generiert, das aus systemspezifischen Informationen wie Netzwerkverkehr, Systemspeicher und Festplattennutzung abgeleitet wird, um die Laufwerke des Systems zu verschlüsseln. Dies geschieht in dem Versuch, Brute-Force-Versuche zu widerstehen. Das einzigartige Passwort wird dann auf einen vom Angreifer kontrollierten Server hochgeladen. Nach dem Neustart wird der Benutzer aufgefordert, das Passwort einzugeben, um das verschlüsselte Laufwerk zu entsperren. Der BitLocker-Bildschirm ist auch so konfiguriert, dass er die Kontakt-E-Mail-Adresse des Bedrohungsakteurs anzeigt, um die Zahlung im Austausch für das Passwort zu initiieren.
Das ist jedoch nicht alles. Das Skript nimmt mehrere Registry-Änderungen vor, um den Zugriff auf das System zu beschränken, indem es Remote-RDP-Verbindungen deaktiviert und lokale passwortbasierte Anmeldungen ausschaltet. Im Rahmen seiner Bereinigungsmaßnahmen deaktiviert es auch Windows-Firewall-Regeln und löscht Audit-Dateien. Bitdefender wies weiter darauf hin, dass der Name ShrinkLocker irreführend ist, da die namensgebende Funktionalität auf ältere Windows-Systeme beschränkt ist und dass es auf aktuellen Betriebssystemen keine Partitionen tatsächlich verkleinert.
Durch die Verwendung einer Kombination aus Gruppenrichtlinienobjekten (GPOs) und geplanten Aufgaben kann es mehrere Systeme innerhalb eines Netzwerks in nur 10 Minuten pro Gerät verschlüsseln, bemerkte Zugec. “Infolgedessen kann ein vollständiger Kompromiss einer Domäne mit sehr wenig Aufwand erreicht werden.” Proaktives Monitoring spezifischer Windows-Ereignisprotokolle kann Organisationen helfen, potenzielle BitLocker-Angriffe bereits in ihren frühen Stadien zu identifizieren und darauf zu reagieren, z. B. wenn Angreifer ihre Verschlüsselungsfähigkeiten testen. Durch die Konfiguration von BitLocker zur Speicherung von Wiederherstellungsinformationen in Active Directory Domain Services (AD DS) und die Durchsetzung der Richtlinie “BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert sind”, können Organisationen das Risiko von BitLocker-basierten Angriffen erheblich reduzieren.
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die besten Bücher rund um KI & Robotik!
- Die besten KI-News kostenlos per eMail erhalten!
- Zur Startseite von IT BOLTWISE® für aktuelle KI-News!
- Service Directory für AI Adult Services erkunden!
- IT BOLTWISE® kostenlos auf Patreon unterstützen!
- Aktuelle KI-Jobs auf StepStone finden und bewerben!
Stellenangebote
Werkstudententätigkeit im Bereich Datenanalyse und Künstliche Intelligenz ab Mai 2025
KI-Anwendungsentwickler / Machine Learning Engineer (m/w/d)
AI/ML Engineer (m/w/d) Data Driven Solutions
Professur für Datenjournalismus und Künstliche Intelligenz (W2)
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Du hast einen wertvollen Beitrag oder Kommentar zum Artikel "Bitdefender bietet Entschlüsselungstool für ShrinkLocker-Opfer" für unsere Leser?
#Sophos
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Bitdefender bietet Entschlüsselungstool für ShrinkLocker-Opfer" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.
Nutze die deutsche Google-Suchmaschine für eine weitere Themenrecherche: »Bitdefender bietet Entschlüsselungstool für ShrinkLocker-Opfer« bei Google Deutschland suchen und bei Google News recherchieren!