Kasperskyのグローバル緊急対応チーム(GERT)は、新たなランサムウェア「ShrinkLocker」の存在を確認したと公表した。
GERTによると、ShrinkLocker はMicrosoft Windowsのドライブ暗号化機能「BitLocker」を悪用して企業データを暗号化して身代金を要求するという。
この攻撃は、公表時点で日本では確認されていないものの、メキシコ、インドネシア、ヨルダンの鉄鋼業、ワクチン製造企業、政府機関をターゲットにした事例が確認されている状況として警戒が必要とされている。
ShrinkLockerは特定のWindowsバージョンを検出し、それに応じてBitLockerを有効にするスクリプト(自動化するために書かれたプログラムコード)を使用するという。
攻撃者はまず、Windowsのバージョンを確認し、適合する場合はBitLockerを使用してドライブ全体を暗号化、その後ファイルの復元を防ぐために回復オプションを削除する。
さらにスクリプトはシステムの起動設定も変更してしまうという。
これにより、被害者側ではコンピュータが使用不能となり、BitLockerの回復キーを保護するためのプロテクターも削除される事態に陥るとされている。
また、このスクリプトはWindowsの最新バージョンからWindows Server 2008までのシステムに対応しており、攻撃のダメージを最大化するために設計されている。
さらに、システム情報と暗号化キーを攻撃者のサーバーに送信され、攻撃の痕跡を隠すためにログやファイルを削除するという。
GERTのインシデントレスポンススペシャリストは「BitLockerは本来、データの盗難や流出のリスクを軽減するために設計されたもので、攻撃者に悪用されるケースが懸念される。企業は強固なパスワードの使用や回復キーの安全な保管、定期的なオフラインバックアップが重要」と述べている。
推奨される対策として、は以下のような対応が挙げられている。
・強力なセキュリティソフトウェアを使用し、BitLockerの悪用を防ぐ。
・MDR(Managed Detection and Response)を導入し、脅威をプロアクティブに検出する。
・ユーザー権限を適切に管理し、暗号化機能の不正な有効化を防止する。
・ネットワークトラフィックのログと監視を有効にし、攻撃者への情報送信を防ぐ。
・VBScriptとPowerShellの実行イベントを監視し、ログに記録されたスクリプトとコマン・ドを外部リポジトリに保存する。
ShrinkLockerのような新たなランサムウェアが登場する中、企業は常に最新のセキュリティ対策を講じ、適切な防御策を維持することが求められている。
【参考記事】
Kaspersky、BitLockerを使用して企業データを暗号化する新たなランサムウェア「ShrinkLocker」を特定
https://www.kaspersky.co.jp/