dựa theo Tiếng bíp máy tínhCác chuyên gia an ninh mạng vừa phát hiện ra một chủng ransomware mới có tên ShrinkLocker sử dụng tính năng mã hóa ổ đĩa BitLocker của Windows để khóa thiết bị của người dùng và yêu cầu tiền chuộc.
ShrinkLocker hoạt động bằng cách thu nhỏ phân vùng không khởi động xuống còn 100 MB và tạo ổ đĩa khởi động mới, sau đó sử dụng BitLocker để mã hóa dữ liệu trên thiết bị. Điểm đặc biệt của loại ransomware này là không để lại file văn bản đòi tiền chuộc như thông thường mà ShrinkLocker đặt tên cho phân vùng khởi động mới bằng địa chỉ email để nạn nhân liên hệ.
ShrinkLocker tận dụng chức năng BitLocker trên Windows để mã hóa dữ liệu
Ảnh chụp màn hình tin tức của SEC
Sau khi mã hóa thành công, ShrinkLocker sẽ loại bỏ mọi biện pháp bảo vệ BitLocker, khiến nạn nhân không thể khôi phục khóa mã hóa. Kẻ tấn công sẽ giữ lại khóa giải mã và yêu cầu nạn nhân trả tiền chuộc để lấy lại quyền truy cập vào dữ liệu.
Mặc dù việc sử dụng BitLocker để mã hóa dữ liệu là một tính năng bảo mật hợp pháp của Windows nhưng ShrinkLocker lại khai thác tính năng này để gây ra nhiều thiệt hại hơn.
ShrinkLocker không phải là biến thể ransomware đầu tiên sử dụng BitLocker để mã hóa hệ thống. Tiếng bíp máy tính Một bệnh viện ở Bỉ được cho là đã bị tấn công bằng ransomware bằng BitLocker, khiến 100 TB dữ liệu bị mã hóa trên 40 máy chủ. Một nhà sản xuất và phân phối thịt của Nga có tên Miratorg Holding cũng chịu số phận tương tự vào năm 2022.
Theo Kaspersky, ShrinkLocker đã tấn công các tổ chức sản xuất thép và vắc xin ở Mexico, Indonesia và Jordan. Các chuyên gia cảnh báo đây là mối đe dọa mới, nguy hiểm và người dùng cần cẩn thận, cập nhật các biện pháp bảo mật để tránh trở thành nạn nhân của loại ransomware nguy hiểm này.
