Nový ransomware ShrinkLocker používá k šifrování souborů BitLocker

Nový ransomware s názvem ShrinkLocker vytváří nový spouštěcí oddíl a šifruje podnikové systémy pomocí nástroje Windows BitLocker.

Nástroj ShrinkLocker je napsán v jazyce Visual Basic Scripting (VBScript). Jednou z jeho funkcí je zjišťování konkrétní verze systému Windows spuštěné na cílovém počítači pomocí nástroje Windows Management Instrumentation (WMI).

Útok pokračuje pouze v případě, že jsou splněny určité parametry, jako je aktuální doména shodná s cílem a verze operačního systému novější než Vista. V opačném případě ShrinkLocker automaticky skončí a odstraní se.

Pokud cíl odpovídá požadavkům útoku, malware pomocí nástroje diskpart v systému Windows zmenší každý oddíl, který není zaváděcí, o 100 MB a rozdělí nepřidělené místo do nových primárních svazků stejné velikosti.

Stejné operace změny velikosti se provádějí i v jiných verzích operačního systému Windows, ale s jiným kódem, vysvětlují výzkumníci ve své technické analýze.

Nástroj ShrinkLocker také upravuje položky registru, aby zakázal připojení ke vzdálené ploše nebo povolil šifrování BitLocker na hostitelích bez modulu TPM.

Ransomware využívající k šifrování počítačů nástroj BitLocker není novinkou. Útočníci použil tuto bezpečnostní funkci v systému Windows k zašifrování 100 TB dat na 40 serverech v nemocnici v Belgii.

Vašemu podniku dáváte vše.
Chráníte i jeho digitální život?

Zanechte nám svůj e-mail a my vám poradíme, jak zlepšit zabezpečení vaší společnosti.

Google opravuje osmý zero-day v prohlížeči Chrome v tomto roce

Společnost Google vydala novou nouzovou bezpečnostní aktualizaci, která řeší osmou zero-day zranitelnost v prohlížeči Chrome, u níž bylo potvrzeno, že je aktivně zneužívána.

Bezpečnostní problém objevil Clément Lecigne ze společnosti Google a je sledován jako CVE-2024-5274. Jedná se o „záměnu typu“ s vysokou závažností ve V8, JavaScriptovém enginu prohlížeče Chrome, který je zodpovědný za provádění JS kódu.

„Společnost Google si je vědoma, že existuje exploit pro CVE-2024-5274,“ uvedla společnost v bezpečnostním doporučení.

Společnost Google nesdělila technické podrobnosti o chybě, aby ochránila uživatele před potenciálními pokusy o zneužití ze strany útočníků a umožnila jim nainstalovat verzi prohlížeče, která problém řeší.

CVE-2024-5274 je osmou aktivně zneužívanou zranitelností, kterou společnost Google od začátku roku v prohlížeči Chrome opravila, a třetí v tomto měsíci.

Oprava se objeví ve verzi 125.0.6422.112/.113 pro Windows a Mac, zatímco uživatelé Linuxu dostanou aktualizaci ve verzi 125.0.6422.112 v následujících týdnech.


Norsko doporučuje nahradit SSL VPN za IPSec

Norské Národní centrum kybernetické bezpečnosti (NCSC) doporučuje nahradit řešení SSLVPN/WebVPN alternativními řešeními kvůli opakovanému zneužívání k průniku do podnikových sítí.

Organizace doporučuje, aby byl přechod dokončen do roku 2025, zatímco organizace podléhající „zákonu o bezpečnosti“ nebo organizace v kritické infrastruktuře by měly přijmout bezpečnější alternativy do konce roku 2024.

„Závažnost zranitelností a opakované zneužívání tohoto typu zranitelností ze strany útočníků znamená, že NCSC doporučuje nahradit řešení pro zabezpečený vzdálený přístup využívající SSL/TLS bezpečnějšími alternativami. NCSC doporučuje využít IPsec s výměnou internetových klíčů (IKEv2),“ uvádí se v oznámení NCSC.

Organizace pro kybernetickou bezpečnost sice připouští, že IPsec s IKEv2 není bez chyb, ale domnívá se, že přechod na něj by výrazně snížil vektor útoků, protože ve srovnání s protokolem SSLVPN je méně tolerantní k chybám v konfiguraci.


Falešné weby Putty a WinSCP v reklamách google šíří ransomware

Nedávná zpráva společnosti Rapid7 uvádí, že kampaň ve vyhledávačích zobrazovala reklamy na falešné weby Putty a WinSCP při vyhledávání slov download winscp nebo download putty.

Tyto reklamy používaly typosquattingová doménová jména jako puutty[.]org, wnscp[.]net a vvinscp[.]net.

Tyto stránky obsahují odkazy ke stažení ZIP archivu ze serverů útočníka. Tyto archivy obsahují spustitelný soubor Setup.exe, což je přejmenovaný a legitimní spustitelný soubor Python pro Windows(pythonw.exe), a škodlivý soubor python311.dll.

Když uživatel spustí soubor Setup.exe v domnění, že instaluje PuTTY nebo WinSCP, načte škodlivou DLL knihovnu, která extrahuje a spustí šifrovaný Python skript .

Tento skript nakonec nainstaluje sadu nástrojů Sliver post-exploitation, oblíbený nástroj používaný pro prvotní přístup do podnikových sítí.

Podle společnosti Rapid7 použil útočník nástroj Sliver ke vzdálenému spuštění dalších užitečných aplikací, včetně Cobalt Strike beaconu. Útočníci začnou s exfiltraci dat a pokusí se o nasazení šifrovacího ransomwaru.


Zajímáte se o kybernetickou bezpečnost? Podívejte se na další díly našeho týdeníku Bezpečnostní neděle.