VIVA Tekno – Kaspersky menemukan serangan ransomware menggunakan BitLocker Microsoft untuk mencoba mengenkripsi file perusahaan.
Pelaku ancaman menghapus opsi pemulihan untuk mencegah pemulihan file dan menggunakan skrip berbahaya dengan fitur baru, kemampuan untuk mendeteksi versi Windows tertentu dan mengaktifkan BitLocker sesuai dengan versi Windows.
Insiden ransomware ShrinkLocker dan variannya telah terlihat di tiga negara: Meksiko, Indonesia, dan Yordania. Para penjahat menargetkan perusahaan yang bergerak di industri baja dan produksi vaksin, serta lembaga-lembaga negara.
Tim Kaspersky Global Emergency Response melaporkan bahwa pelaku ancaman menggunakan VBScript, bahasa pemrograman yang digunakan untuk mengotomatisasi tugas di komputer Windows, untuk membuat skrip berbahaya dengan fitur yang sebelumnya tidak dilaporkan guna memaksimalkan kerusakan akibat serangan tersebut.
Yang baru adalah skrip memeriksa versi Windows yang diinstal pada sistem dan mengaktifkan fungsi BitLocker yang sesuai.
Script tersebut diyakini dapat menginfeksi sistem baru dan lama hingga Windows Server 2008 dengan cara ini.
Jika versi OS cocok untuk serangan tersebut, skrip akan mengubah pengaturan boot dan mencoba mengenkripsi seluruh drive dengan BitLocker.
Ini menciptakan partisi boot baru, yang pada dasarnya membuat partisi terpisah pada disk komputer yang berisi file untuk memuat sistem operasi.
Tindakan ini dimaksudkan untuk membatasi korban pada tahap selanjutnya. Penyerang juga menghapus perlindungan yang digunakan untuk melindungi kunci enkripsi BitLocker sehingga korban tidak dapat memulihkannya.
Skrip jahat kemudian mengirimkan informasi sistem dan kunci enkripsi yang dibuat pada komputer yang disusupi ke server yang dikendalikan oleh pelaku ancaman.
Setelah itu, penjahat menghapus jejaknya, menghapus log dan berbagai file yang berfungsi sebagai petunjuk dan membantu menyelidiki serangan tersebut.
Sebagai langkah terakhir, malware akan mematikan sistem secara paksa, yang difasilitasi dengan membuat dan menginstal ulang file pada partisi boot terpisah.
Korban melihat layar BitLocker dengan pesan “Tidak ada lagi opsi pemulihan BitLocker di komputer Anda.”
Kaspersky menyebut skrip tersebut “ShrinkLocker” karena namanya menyoroti prosedur penting mengubah ukuran partisi, yang penting bagi penyerang untuk memastikan bahwa sistem dengan file terenkripsi akan berjalan dengan baik.
“Yang sangat memprihatinkan dalam kasus ini adalah BitLocker, yang awalnya dirancang untuk mengurangi risiko pencurian atau eksploitasi data, telah digunakan kembali oleh musuh untuk tujuan jahat. Bagi perusahaan yang menggunakan BitLocker, penting untuk memastikan kata sandi yang kuat dan penyimpanan kunci pemulihan yang aman. Pencadangan rutin yang disimpan secara offline dan diuji juga merupakan upaya perlindungan yang penting,” kata Christian Souza, spesialis respons insiden, Tim Tanggap Darurat Global Kaspersky, Rabu, 29 Mei 2024.
