virprom.com – Peneliti keamanan siber telah menemukan serangan ransomware baru yang disebut ShrinkLocker.
Ransomware adalah jenis program jahat (malicious) yang mengenkripsi data di komputer dan kemudian mencoba memeras korbannya dengan permintaan tebusan.
Eksploitasi ini diberi nama ShrinkLocker oleh perusahaan anti-virus Kaspersky, karena ia mendefinisikan metode mengubah partisi (bagian dari media penyimpanan hard disk) yang dapat dilacak penyerang untuk mengamankan sistem operasi (metode menyalakan komputer) secara diam-diam mode. file.
Baca juga: Peran Kecerdasan Buatan dalam Melawan Ransomware
ShrinkLocker diketahui menyerang perusahaan-perusahaan di sektor fabrikasi logam, injection molding, dan pemerintahan. Negara yang terkena dampak adalah Indonesia, Meksiko, dan Yordania. Bagaimana ShrinkLocker bekerja
Secara spesifik, pelaku ancaman diketahui menggunakan bahasa pemrograman VBScript.
Bahasa ini digunakan untuk mengotomatiskan tugas di komputer Windows dan membuat skrip berbahaya yang berisi fitur yang tidak dilaporkan untuk meningkatkan kerusakan.
Script ini dapat memeriksa versi Windows di komputer dan mengaktifkan fitur BitLocker dengan benar. BitLocker sendiri merupakan fitur keamanan Windows yang menyediakan cara untuk mempartisi harddisk.
Dengan cara ini, skrip ini dapat menginfeksi sistem operasi (OS) baru dan lama hingga Windows Server 2008.
Jika versi OS cocok untuk serangan tersebut, skrip mengubah pengaturan komputer dan mencoba mengenkripsi seluruh drive menggunakan BitLocker.
Baca Juga: Penjual LockBit Dikabarkan Minta Tebusan Rp 296 Miliar untuk Data BSI, Tapi Dibayar Setengah Harga.
Artikel ini membuat partisi baru yang merupakan bagian terpisah dari drive komputer yang berisi file startup sistem operasi.
Hal ini dimaksudkan untuk membawa korban ke tahap selanjutnya. Penyerang juga akan menghapus keamanan BitLocker dan mencegah pengguna mendapatkan kunci enkripsi BitLocker.
Satu-satunya pihak yang memiliki kunci BitLocker adalah penyerangnya sendiri, seperti yang ditemukan oleh alat TryCloudflare.
Alat ini digunakan oleh pengembang untuk mengontrol layanan web hosting Cloudflare tanpa menambahkan domain ke sistem nama (DNS) Cloudflare.
Pada langkah selanjutnya, skrip jahat mengirimkan informasi tentang sistem komputer dan kunci enkripsi ke server penyerang. Penyerang kemudian menutupi jejaknya dengan menghapus berbagai log dan file yang menurutnya dapat digunakan untuk melacaknya.
Terakhir, malware juga memaksa sistem pengguna untuk dimatikan, yang dapat dilakukan dengan menempatkan file di partisi terpisah, seperti dijelaskan di atas.