ACTUALITÉS

ShrinkLocker exploite BitLocker pour infecter les ordinateurs

Patrick Jean01,7K views

Table des matières

Les hackers utilisent l’outil BitLocker de Windows pour crypter les données et bloquer l’accès aux utilisateurs. Cet utilitaire permet de sécuriser les fichiers en les rendant inaccessibles sans une clé de déchiffrement.

BitLocker : Comment les pirates procèdent-ils?

Pour commencer, les attaquants utilisent BitLocker pour crypter les fichiers de leurs victimes. Sans la clé, ces fichiers deviennent inaccessibles. Ensuite, ils exigent une rançon pour fournir la clé, imitant ainsi le comportement des ransomwares traditionnels.

Analyse par Kaspersky

En outre, l’analyse de Kaspersky montre que ShrinkLocker utilise le chiffrement BitLocker pour bloquer l’accès aux données des utilisateurs. Après avoir chiffré les disques locaux, il réduit les partitions de 100 Mo pour créer une nouvelle partition de démarrage. Ainsi, il désactive les clés de récupération de BitLocker et envoie la clé de chiffrement aux hackers.

Piratage via BitLocker : Que se passe-t-il lors du redémarrage?

Au redémarrage, les victimes voient une invite de mot de passe BitLocker. Cependant, les étiquettes des lecteurs montrent l’adresse e-mail de l’attaquant au lieu d’une note de rançon. Les utilisateurs ne peuvent pas accéder à leur système sans la clé de déchiffrement.

BitLocker : Fonctionnement de ShrinkLocker

Par ailleurs, ShrinkLocker est un ransomware complexe écrit en VBScript. Il collecte des informations sur le système d’exploitation, prépare les disques en réduisant les partitions et modifie le registre Windows pour activer le chiffrement BitLocker selon les instructions des hackers. Ainsi, il désactive également les clés de récupération et active le protecteur de mot de passe pour ces clés. Ensuite, il génère et utilise un mot de passe pour crypter le disque.

Communication avec le serveur des hackers

ShrinkLocker renvoie ce mot de passe et les données du système au serveur C2 des attaquants via un sous-domaine Cloudflare. Ensuite, il s’efface des systèmes compromis, supprimant tous les journaux et redémarrant les ordinateurs. Les victimes se retrouvent alors face à l’invite BitLocker sans aucun moyen de récupérer leurs fichiers.

Attaques signalées

Des attaques de ShrinkLocker ont été signalées en Indonésie, en Jordanie et au Mexique.

Piratage via BitLocker : Recommandations pour se protéger

  1. D’abord, limitez les privilèges d’accès pour empêcher la modification du registre ou l’activation du chiffrement intégral du disque.
  2. Ensuite, activez la journalisation des requêtes HTTP POST pour surveiller le trafic et détecter les exfiltrations de mots de passe et de clés.
  3. Après cela, surveillez et enregistrez les activités VBS et PowerShell, stockez ces journaux à l’extérieur car les malwares peuvent les supprimer.
  4. En outre, sauvegardez régulièrement les données hors ligne.
  5. Par ailleurs, utilisez des solutions de sécurité fiables pour les points finaux.
  6. Enfin, employez l’EDR pour surveiller et répondre aux activités suspectes sur les points d’accès.

Ces mesures peuvent aider à se protéger contre ShrinkLocker et d’autres types de ransomware utilisant BitLocker.

Pour plus d’articles sur la cybersécurité, consultez souvent GeekFrance.fr.

Related posts

iOS 18.2 et iPadOS 18.2 : Les premières versions bêta publiques sont disponibles

Date de lancement de la série Realme 14

Enquête sur Corning pour pratiques anticoncurrentielles en Europe