微软声称：伊朗黑客使用BitLocker加密Windows系统

gtxyzz 安全防护 2023-01-21 407浏览 0

微软声称：伊朗黑客使用BitLocker加密Windows系统微软表示，一个由伊朗政府撑腰的威胁组织一直在多起攻击中滥用BitLocker Windows功能，以加密受害者的系统，微软将它跟踪分析的这个组织编号为DEV-0270（又名Nemesis Kitten）。微软的威胁情报团队发现，该威胁组织能够快速利用新披露的安全漏洞，并在攻击中广泛使用非本地二进制文件（LOLBIN）。这与微软的发现结果：DEV-0270在使用 BitLocker相一致，这项数据保护功能可在运行Windows 10、Windows 11或Windows Server 2016及更高版本的设备上提供全卷加密服务。微软安全威胁情报团队解释道：“我们已经看到DEV-0270使用setup.bat命令来启用BitLocker加密功能，这导致主机无法正常运行。对于工作站而言，该威胁组织使用了DiskCryptor，这是一种适用于Windows的开源全盘加密系统，允许对设备的整个硬盘进行加密。” 从初始访问到勒索函投放到被锁定系统上之间的赎金时间（TTR）大约为两天；据微软观察发现，DEV-0270在攻击得逞后要求受害者支付8000美元的赎金以换取解密密钥。微软声称：伊朗黑客使用BitLocker加密Windows系统图1. 典型的DEV-0270攻击链（