Microsoft заявляет, что группа угроз, спонсируемая иранским государством, которую она отслеживает как DEV-0270 (она же Nemesis Kitten), злоупотребляет функцией Windows BitLocker в атаках для шифрования систем жертв.
Группы Redmond по анализу угроз обнаружили, что группа быстро использует недавно обнаруженные уязвимости в системе безопасности и широко использует в атаках двоичные файлы, живущие за пределами земли (LOLBIN).
Это согласуется с выводами Microsoft о том, что DEV-0270 использует BitLocker, функцию защиты данных, которая обеспечивает полное шифрование тома на устройствах под управлением Windows 10, Windows 11 или Windows Server 2016 и более поздних версий.
«Было замечено, что DEV-0270 использует команды setup.bat для включения шифрования BitLocker, что приводит к выходу из строя хостов», — пояснили в Microsoft Security Threat Intelligence.
«Для рабочих станций группа использует DiskCryptor, систему полного шифрования диска с открытым исходным кодом для Windows, которая позволяет шифровать весь жесткий диск устройства».
Время до запроса выкупа (TTR) между первоначальным доступом и развертыванием записки о выкупе в заблокированных системах составляло около двух дней, и было замечено, что DEV-0270 требует от жертв 8000 долларов за ключи дешифрования после успешных атак.