Windowsの「BitLocker」を悪用して勝手に暗号化するランサムウェア出現 回復オプションも削除 カスペルスキー報告
Windowsが搭載する暗号化システム「BitLocker」を悪用してデータを暗号化。パスだけを盗み、攻撃者に連絡をさせる──こんな性質のランサムウェア「ShrinkLocker」を確認したとして、カスペルスキーが5月28日に注意を呼び掛けた。
カスペルスキーによれば、ShrinkLockerはVBScriptで書かれたスクリプトによって、攻撃対象であるOS(Windows)のバージョンを確認し、その上でBitLockerを有効化する点が特徴という。
OSが攻撃に適するバージョンの場合、スクリプトによって立ち上げ時の設定を変更。Windowsがインストールされていないパーティションを縮小し、空いた領域を使ってOSのブートファイルを含む新たなパーティションを設定する。そのパーティションのラベルを攻撃者のメールアドレスにし、被害者が連絡できるようにするという。
その後、ユーザーによる自力の復旧を防ぐため、復号キーを保護するプロテクトを削除する。そして64文字のランダムなキーを生成し、攻撃対象になったPCの情報と合わせて攻撃者に送信する。
次に、侵入の痕跡となるログなどを削除した後、システムを強制的にシャットダウンする。起動しなおすと、被害者のPCはBitLockerが有効になっており、画面には「お使いの PCにはもうBitLocker回復オプションがありません」というメッセージが表示されるという。これにより、暗号化を解除するには攻撃者に連絡するしかない状況を作り出すわけだ。
カスペルスキーは、確認したスクリプトが「Windowsの最新バージョンからWindows Server 2008までのレガシーシステムに感染させることができる」と分析している。日本ではまだ同様の被害を確認していないものの、メキシコ、インドネシア、ヨルダンではすでに確認しており、主に鉄鋼業者やワクチンの製造企業、政府機関がターゲットになっていたという。
BitLockerは本来、ストレージを暗号化することで、PCの盗難・紛失時のリスクを低減するためのものだ。カスペルスキーは「本来データの盗難や流出のリスクを軽減するために設計されたBitLockerが、攻撃者によって悪用されている。セキュリティ対策がこのように武器化されたことは、皮肉なこと」とコメント。
被害の緩和には、ユーザー権限の適切な管理によって暗号化機能の不正な有効化を防ぐ、ネットワークトラフィックやログの監視、定期的なバックアップなどの対策が重要と呼び掛けている。
BitLockerを悪用してPCを暗号化するランサムウェア。Kasperskyが注意喚起
Kasperskyは23日、BitLockerを悪用したランサムウェア攻撃「ShrinkLocker」について、情報を公開し注意喚起した。
ShrinkLockerは、Windowsに標準搭載の暗号化機能であるBitLockerを悪用した攻撃で、標的のPCのボリューム全体を暗号化した上で、復号化キーを盗むという手法が用いられているという。BitLockerは本来、デバイスの紛失や盗難、廃棄におけるデータ漏洩のリスクを抑えるための機能となっている。
まずVBScriptを使ってOSがBitLockerに対応しているかなどをチェック。条件を満たしている場合は、各非ブートパーティションを100MB縮小し、そのスペースに新たにプライマリパーティションを設定し、ブートファイルをインストールする。パーティションの名前は攻撃者のメールアドレスに変更される。
その後、レジストリ変更によって、RDP接続の無効化やTPM非搭載デバイスでのBitLockerの有効化などを実行。被害者があとから回復できなくなるよう、暗号化キーなどを保護するためのプロテクターを無効化して削除する。さらに、64文字のランダムな暗号化キーを生成し、攻撃者に対して標的となったデバイス情報や暗号化キーなどを送信する。
最後にログなどを削除してPCを強制的にシャットダウンする。再起動後は「There are no more BitLocker recovery options on your PC」(BitLockerの回復オプションがありません)というメッセージが表示され、PCが使えなくなり、データにもアクセスできなくなる。
Kasperskyでは、Windowsの内部構造などを熟知した攻撃者が関わっていると考えられると分析している。また緩和策として、PCの暗号化のほか、ネットワークトラフィックのロギングの監視、VBScriptやPowerShell関連のイベント監視、バックアップなどを行なうよう勧めている。
