Tin tặc lợi dụng tính năng BitLocker trên Windows để tấn công đòi tiền chuộc

Theo BleepingComputer, các chuyên gia an ninh mạng vừa phát hiện một chủng loại ransomware mới có tên ShrinkLocker, sử dụng tính năng mã hóa ổ đĩa BitLocker của Windows để khóa người dùng khỏi thiết bị của họ và đòi tiền chuộc.

ShrinkLocker hoạt động bằng cách thu nhỏ các phân vùng không khởi động xuống còn 100 MB và tạo ra các ổ đĩa khởi động mới, sau đó sử dụng BitLocker để mã hóa dữ liệu trên thiết bị. Điểm đặc biệt của loại ransomware này là không để lại các tệp văn bản thông báo đòi tiền chuộc như thông thường, mà thay vào đó ShrinkLocker sẽ đặt tên các phân vùng khởi động mới bằng địa chỉ email để nạn nhân liên hệ

CHỤP MÀN HÌNH SECNEWS

Sau khi mã hóa thành công, ShrinkLocker sẽ xóa tất cả các trình bảo vệ BitLocker, khiến nạn nhân không thể khôi phục khóa mã hóa. Kẻ tấn công sẽ giữ khóa giải mã và yêu cầu nạn nhân trả tiền chuộc để lấy lại quyền truy cập vào dữ liệu.

Mặc dù việc sử dụng BitLocker để mã hóa dữ liệu là một tính năng bảo mật hợp pháp của Windows, nhưng ShrinkLocker đã lợi dụng tính năng này để gây ra thiệt hại lớn hơn.

ShrinkLocker không phải là biến thể ransomware đầu tiên sử dụng BitLocker để mã hóa hệ thống. BleepingComputer cho biết từng có một bệnh viện ở Bỉ bị tấn công bởi ransomware dùng BitLocker khiến 100 TB dữ liệu trên 40 máy chủ bị mã hóa. Một nhà sản xuất và phân phối thịt có tên Miratorg Holding ở Nga cũng đã phải chịu số phận tương tự vào năm 2022.

Theo Kaspersky, ShrinkLocker đã tấn công các tổ chức sản xuất thép và vắc-xin ở Mexico, Indonesia và Jordan. Các chuyên gia cảnh báo rằng đây là một mối đe dọa mới và nguy hiểm, người dùng cần cẩn trọng và cập nhật các biện pháp bảo mật để tránh trở thành nạn nhân của chủng ransomware nguy hiểm này.