Sebuah ransomware varian baru bernama 'ShrinkLocker' terdeteksi aktif menyerang sistem Windows (termasuk versi 11). Uniknya, malware ini tidak mengenkripsi file satu per satu, melainkan menyalahgunakan fitur sah Windows, BitLocker, untuk mengunci seluruh partisi hard drive dan kemudian menghapus *recovery key*-nya, membuat pemulihan data menjadi mustahil.
KENAPA INI PENTING?
Ini adalah pergeseran taktik yang sangat licik dan efisien. Penyerang tidak perlu membawa *encryptor* sendiri, mereka hanya 'mempersenjatai' tool yang sudah ada dan terpercaya di dalam Windows. Bagi tim Blue Team, deteksinya lebih sulit karena aktivitas BitLocker bisa terlihat seperti aktivitas admin yang sah. Bayangkan maling tidak membobol pintu, tapi menipu satpam untuk mengunci gedung dan membuang semua kuncinya. Dampaknya fatal: data terkunci permanen, dan sistem operasi tidak bisa booting.
APA YANG PERLU DILAKUKAN:
* Aksi 1: Segera audit log sistem Anda untuk aktivitas pembuatan partisi baru yang tidak wajar dan eksekusi perintah manage-bde.exe yang mencurigakan, terutama jika diikuti dengan penghapusan volume. Ini adalah jejak utama ShrinkLocker.
* Aksi 2: Terapkan prinsip *least privilege* dengan ketat. Pastikan akun pengguna dan service tidak memiliki hak administratif untuk menjalankan BitLocker atau mengubah partisi. Malware ini butuh hak admin untuk beraksi.
* Aksi 3: Pastikan Anda memiliki *offline backup* dan *immutable backup* (cadangan yang tidak bisa diubah). Karena *recovery key* lokal dihancurkan, satu-satunya harapan Anda adalah memulihkan dari cadangan yang sepenuhnya terisolasi dari jaringan utama.
Informasi lengkap, Incar Indonesia, Ransomware "ShrinkLocker" Bisa Bajak Data dan Kunci File - Teknologi
KENAPA INI PENTING?
Ini adalah pergeseran taktik yang sangat licik dan efisien. Penyerang tidak perlu membawa *encryptor* sendiri, mereka hanya 'mempersenjatai' tool yang sudah ada dan terpercaya di dalam Windows. Bagi tim Blue Team, deteksinya lebih sulit karena aktivitas BitLocker bisa terlihat seperti aktivitas admin yang sah. Bayangkan maling tidak membobol pintu, tapi menipu satpam untuk mengunci gedung dan membuang semua kuncinya. Dampaknya fatal: data terkunci permanen, dan sistem operasi tidak bisa booting.
APA YANG PERLU DILAKUKAN:
* Aksi 1: Segera audit log sistem Anda untuk aktivitas pembuatan partisi baru yang tidak wajar dan eksekusi perintah manage-bde.exe yang mencurigakan, terutama jika diikuti dengan penghapusan volume. Ini adalah jejak utama ShrinkLocker.
* Aksi 2: Terapkan prinsip *least privilege* dengan ketat. Pastikan akun pengguna dan service tidak memiliki hak administratif untuk menjalankan BitLocker atau mengubah partisi. Malware ini butuh hak admin untuk beraksi.
* Aksi 3: Pastikan Anda memiliki *offline backup* dan *immutable backup* (cadangan yang tidak bisa diubah). Karena *recovery key* lokal dihancurkan, satu-satunya harapan Anda adalah memulihkan dari cadangan yang sepenuhnya terisolasi dari jaringan utama.
Informasi lengkap, Incar Indonesia, Ransomware "ShrinkLocker" Bisa Bajak Data dan Kunci File - Teknologi