Windows-Systeme gefährdet: Hacker missbrauchen Bitlocker für Ransomware-Attacken
Sicherheitsforscher von Kaspersky haben eine neue Ransomware-Kampagne namens Shrinklocker aufgedeckt, bei der Angreifer das in Windows integrierte Verschlüsselungstool Bitlocker missbrauchen, um die Daten ihrer Opfer zu verschlüsseln und anschließend ein Lösegeld zu fordern. Eigentlich soll Bitlocker die Daten von Anwendern bei einem möglichen Diebstahl des Datenträgers schützen. Offenkundig lässt sich das Tool aber auch für böswillige Zwecke einsetzen.
Wie die Kaspersky-Forscher in ihrem Bericht(öffnet im neuen Fenster) erklären, kommt bei Shrinklocker ein fortschrittliches VB-Skript zum Einsatz, mit dem die Verschlüsselung mit Bitlocker eingeleitet wird. Nach dem Start fragt das Skript zunächst einige Informationen über das Zielsystem ab und führt verschiedene Prüfungen durch.
Findet das Skript Bedingungen vor, mit denen es nicht umgehen kann, beispielsweise weil es in der Bezeichnung des Betriebssystems eine der Zeichenketten "xp", "2000", "2003" oder "vista" entdeckt, so beendet es sich automatisch und löscht sich selbst. Ist dies nicht der Fall, so ändert das VB-Skript im Anschluss die Größe lokaler Systemlaufwerke, greift in das Boot-Setup ein und aktiviert den Bitlocker-Dienst, sofern dieser noch nicht läuft, um damit die auf den Laufwerken befindlichen Daten zu verschlüsseln.
VB-Skript verwischt seine Spuren
Das Shrinklocker-Skript deaktiviert laut Kaspersky auch die Standardschutzvorrichtungen zur Sicherung des Bitlocker-Keys und verhindert so, dass das Opfer des Angriffs den Schlüssel wiederherstellen kann. Anschließend generiert es ein zufälliges Passwort und übermittelt dieses an den Angreifer. Dabei weiß das Skript in sämtlichen Schritten auch mit den Eigenheiten verschiedener Windows-Versionen umzugehen.
Damit das Opfer für eine mögliche Lösegeldzahlung Kontakt zu den Hackern aufnehmen kann, hinterlässt das VB-Skript im Namen neu angelegter Boot-Partitionen die E-Mail-Adresse der Angreifer. Außerdem verwischt es seine Spuren, indem es erstellte Tasks entfernt und Systemprotokolle löscht. Abschließend wird das Zielsystem heruntergefahren – es begrüß den Nutzer beim nächsten Start mit einer Meldung, die darauf hinweist, dass es auf dem PC keine Bitlocker-Wiederherstellungsoptionen mehr gibt.
Empfohlene Schutzmaßnahmen
Die Kaspersky-Forscher schlagen in ihrem Bericht verschiedene Maßnahmen vor, um sich vor den Folgen derartiger Angriffe zu schützen. Dazu zählt etwa die Verwendung eines sicheren Passwortes für eine bestehende Bitlocker-Verschlüsselung sowie die Aufbewahrung der Wiederherstellungsschlüssel an einem sicheren Ort.
Darüber hinaus empfehlen die Forscher, regelmäßig Back-ups zu erstellen, Benutzer nur mit den nötigsten Berechtigungen auszustatten und Systeme und Netzwerke mit geeigneten Tools laufend auf verdächtige Aktivitäten hin zu überwachen.
Dass Bitlocker von Cyberkriminellen missbraucht wird, um Daten auf Zielsystemen zu verschlüsseln, ist nicht grundsätzlich neu. Das Team von Microsoft Threat Intelligence deckte schon im September 2022(öffnet im neuen Fenster) eine Kampagne einer iranischen Hackergruppe namens Phosphorus (Storm-0270) auf, bei der das Verschlüsselungstool ebenfalls zum Einsatz kam.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.