XYZonemedia.com - Kaspersky telah mengidentifikasi serangan ransomware yang menggunakan BitLocker Microsoft untuk mencoba mengenkripsi file perusahaan
XYZonemedia.com – Kaspersky telah mengidentifikasi serangan ransomware yang menggunakan BitLocker Microsoft untuk mencoba mengenkripsi file perusahaan.
Serangan tersebut disebut “ShrinkLocker” dan telah diamati di Meksiko, Indonesia, dan Yordania, dengan target perusahaan-perusahaan di bidang manufaktur baja, vaksin, dan entitas pemerintahan.
Tim Kaspersky Global Emergency Response melaporkan bahwa pelaku ancaman menggunakan VBScript untuk membuat skrip berbahaya dengan fitur-fitur baru yang tidak dilaporkan sebelumnya. Seperti kemampuan untuk mendeteksi versi Windows dan mengaktifkan BitLocker sesuai dengan versi tersebut.
Skrip tersebut dapat menginfeksi sistem Windows hingga Windows Server 2008.
Jika versi OS cocok, skrip akan mengubah pengaturan boot dan mencoba mengenkripsi seluruh drive menggunakan BitLocker. Serta menghapus pelindung kunci enkripsi BitLocker.
Informasi tentang sistem dan kunci enkripsi kemudian dikirimkan ke server yang dikendalikan pelaku ancaman. Sementara skrip menghapus jejaknya dengan menghapus log dan file penting lainnya.
Langkah terakhir dari serangan ini adalah melakukan penutupan paksa sistem dengan pesan “Tidak ada lagi opsi pemulihan BitLocker di PC Anda”.
Kaspersky mengingatkan bahwa penting untuk menggunakan kata sandi yang kuat dan penyimpanan kunci pemulihan yang aman jika menggunakan BitLocker. Serta melakukan pencadangan rutin dan disimpan secara offline untuk perlindungan tambahan.
Analisis teknis lebih lanjut mengenai serangan ini dapat ditemukan di Securelist.
Pakar Kaspersky merekomendasikan langkah-langkah mitigasi berikut untuk mencegah penyerang mengeksploitasi organisasi:
1. Gunakan perangkat lunak keamanan yang kuat dan dikonfigurasi dengan benar untuk mendeteksi ancaman yang mencoba menyalahgunakan BitLocker.
2. Terapkan Deteksi dan Respons Terkelola (MDR) untuk memantau ancaman secara proaktif. Batasi hak istimewa pengguna untuk mencegah pengaktifan fitur enkripsi atau modifikasi kunci registri tanpa izin.
3. Aktifkan pencatatan dan pemantauan lalu lintas jaringan, menangkap permintaan GET dan POST, karena sistem yang terinfeksi dapat mengirimkan kata sandi atau kunci ke domain penyerang.
4. Selalu pantau eksekusi VBScript dan PowerShell, dan simpan skrip dan perintah yang dicatat ke repositori eksternal untuk retensi aktivitas meskipun ada penghapusan lokal.
COMMENTS