Tính năng BitLocker trên Windows bị lợi dụng để tấn công đòi tiền chuộc

29/05/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện một chủng ransomware mới, chuyên lợi dụng Windows BitLocker để tống tiền.

Theo BleepingComputer, các chuyên gia an ninh mạng vừa phát hiện một chủng loại ransomware mới có tên ShrinkLocker, vì nó hoạt động bằng cách thu nhỏ các phân vùng không khởi động xuống còn 100 MB và tạo ra các ổ đĩa khởi động mới, sau đó sử dụng BitLocker để mã hóa dữ liệu trên thiết bị.

Tính năng mã hóa ổ đĩa BitLocker của Windows có thể bị tin tặc lợi dụng
Tính năng mã hóa ổ đĩa BitLocker của Windows có thể bị tin tặc lợi dụng

Sau đó sử dụng tính năng mã hóa ổ đĩa BitLocker của Windows để khóa người dùng khỏi thiết bị của họ và đòi tiền chuộc. Chủng mới này thường tấn công cơ quan chính phủ và các công ty trong lĩnh vực sản xuất và dược phẩm.

Mức độ nguy hiểm của BitLocker

Mặc dù việc sử dụng BitLocker để mã hóa dữ liệu là một tính năng bảo mật hợp pháp của Windows, nhưng ShrinkLocker đã lợi dụng tính năng này để gây ra thiệt hại lớn hơn.

ShrinkLocker tạo phân vùng 100 MB
ShrinkLocker tạo phân vùng 100 MB

ShrinkLocker không phải là biến thể ransomware đầu tiên sử dụng BitLocker để mã hóa hệ thống. BleepingComputer cho biết từng có một bệnh viện ở Bỉ bị tấn công bởi ransomware dùng BitLocker khiến 100 TB dữ liệu trên 40 máy chủ bị mã hóa. Một nhà sản xuất và phân phối thịt có tên Miratorg Holding ở Nga cũng đã phải chịu số phận tương tự vào năm 2022.

Nhưng ShrinkLocker cũng đi kèm “các tính năng chưa được báo cáo trước đây để gia tăng thiệt hại của cuộc tấn công”, Kaspersky cảnh báo. Điểm đặc biệt của loại ransomware này là không để lại các tệp văn bản thông báo đòi tiền chuộc như thông thường, mà thay vào đó ShrinkLocker sẽ đặt tên các phân vùng khởi động mới bằng địa chỉ email để nạn nhân liên hệ.

Sau khi mã hóa thành công, ShrinkLocker sẽ xóa tất cả các trình bảo vệ BitLocker, khiến nạn nhân không thể khôi phục khóa mã hóa. Kẻ tấn công sẽ giữ khóa giải mã và yêu cầu nạn nhân trả tiền chuộc để lấy lại quyền truy cập vào dữ liệu.

ShrinkLocker đã tấn công các tổ chức sản xuất thép và vắc-xin ở Mexico, Indonesia và Jordan. Các chuyên gia cảnh báo rằng đây là một mối đe dọa mới và nguy hiểm, người dùng cần cẩn trọng và cập nhật các biện pháp bảo mật để tránh trở thành nạn nhân của chủng ransomware nguy hiểm này.

Làm thế nào để bảo vệ dữ liệu của bạn?

Các nhà nghiên cứu an ninh mạng khuyến nghị các biện pháp giảm thiểu sau đây để ngăn chặn những kẻ tấn công:

PHUCBINH GROUP là nhà thầu công nghệ thông tin uy tín
PHUCBINH GROUP là nhà thầu công nghệ thông tin uy tín
  • Sử dụng phần mềm bảo mật mạnh mẽ, được cấu hình đúng cách để phát hiện các mối đe dọa, trong đó có BitLocker.
  • Phân quyền và giới hạn quyền của người dùng để ngăn việc kích hoạt trái phép các mã độc hoặc sửa đổi cài đặt.
  • Cho phép lưu lại thông tin và giám sát việc truy cập mạng, bao gồm ghi lại cả yêu cầu GET và POST, vì hệ thống bị nhiễm mã độc có thể truyền mật khẩu cho kẻ tấn công.
  • Định kỳ lưu trữ lại tài liệu vào kho lưu trữ bên ngoài phòng trường hợp bị mất dữ liệu.

PHUCBINH GROUP là nhà cung cấp các giải pháp về công nghệ thông tin: nâng cấp hạ tầng công nghệ, cáp mạng, server và lưu trữ tài liệu và bảo trì hệ thống mạng.

3.5/5 - (2 bình chọn)