La empresa rumana de ciberseguridad Bitdefender ha lanzado un descifrador gratuito para ayudar a las víctimas a recuperar datos cifrados mediante el ransomware ShrinkLocker.
El descifrador es el resultado de un análisis integral del funcionamiento interno de ShrinkLocker, lo que permitió a los investigadores descubrir una “ventana de oportunidad específica para la recuperación de datos inmediatamente después de la eliminación de los protectores de los discos cifrados con BitLocker”.
ShrinkLocker fue documentado por primera vez en mayo de 2024 por Kaspersky, que encontró el uso por parte del malware de la utilidad BitLocker nativa de Microsoft para cifrar archivos como parte de ataques de extorsión dirigidos a México, Indonesia y Jordania.
Bitdefender, que investigó un incidente de ShrinkLocker dirigido a una empresa de atención médica no identificada en Medio Oriente, dijo que el ataque probablemente se originó en una máquina perteneciente a un contratista, lo que resalta una vez más cómo los actores de amenazas son cada vez más abusar de las relaciones de confianza infiltrarse en la cadena de suministro.
En la siguiente etapa, el actor de la amenaza se movió lateralmente a un controlador de dominio de Active Directory haciendo uso de credenciales legítimas para una cuenta comprometida, seguido de la creación de dos tareas programadas para activar el proceso de ransomware.
Mientras que la primera tarea ejecutó un script de Visual Basic (“Check.vbs”) que copiaba el programa ransomware en cada máquina unida al dominio, la segunda tarea, programada para dos días después, ejecutó el ransomware implementado localmente (“Audit.vbs”) .
El ataque, dijo Bitdefender, cifró con éxito sistemas que ejecutan Windows 10, Windows 11, Windows Server 2016 y Windows Server 2019. Dicho esto, se dice que la variante ShrinkLocker utilizada es una versión modificada de la versión original.
Descrito como simple pero efectivo, el ransomware se destaca por el hecho de que está escrito en VBScript, un lenguaje de secuencias de comandos que, según Microsoft, quedará obsoleto a partir de la segunda mitad de 2024. Además, en lugar de implementar su propio algoritmo de cifrado, el malware utiliza BitLocker como arma para lograr sus objetivos.
El script está diseñado para recopilar información sobre la configuración del sistema y el sistema operativo, después de lo cual intenta verificar si BitLocker ya está instalado en una máquina con Windows Server y, si no, lo instala usando un comando de PowerShell y luego realiza un “reinicio forzado”. usando Apagado de Win32.
Pero Bitdefender dijo que notó un error que hace que esta solicitud falle con un error de “Privilegio no retenido”, lo que provoca que VBScript se atasque en un bucle infinito debido a un intento fallido de reinicio.
“Incluso si el servidor se reinicia manualmente (por ejemplo, por un administrador desprevenido), el script no tiene un mecanismo para reanudar su ejecución después del reinicio, lo que significa que el ataque puede interrumpirse o prevenirse”, Martin Zugec, director de soluciones técnicas de Bitdefender. , dicho.
El ransomware está diseñado para generar una contraseña aleatoria que se deriva de información específica del sistema, como el tráfico de red, la memoria del sistema y la utilización del disco, y la utiliza para cifrar las unidades del sistema.
Luego, la contraseña única se carga en un servidor controlado por el atacante. Después del reinicio, se solicita al usuario que ingrese la contraseña para desbloquear la unidad cifrada. La pantalla de BitLocker también está configurada para mostrar la dirección de correo electrónico de contacto del actor de la amenaza para iniciar el pago a cambio de la contraseña.
Eso no es todo. El script realiza varias modificaciones en el Registro para restringir el acceso al sistema al deshabilitar las conexiones RDP remotas y desactivar los inicios de sesión locales basados en contraseñas. Como parte de sus esfuerzos de limpieza, también desactiva las reglas del Firewall de Windows y elimina archivos de auditoría.
Bitdefender señaló además que el nombre ShrinkLocker es engañoso ya que la funcionalidad del mismo nombre se limita a los sistemas Windows heredados y que en realidad no reduce las particiones en los sistemas operativos actuales.
“Al utilizar una combinación de objetos de política de grupo (GPO) y tareas programadas, puede cifrar múltiples sistemas dentro de una red en tan solo 10 minutos por dispositivo”, señaló Zugec. “Como resultado, se puede lograr un compromiso completo de un dominio con muy poco esfuerzo”.
“El monitoreo proactivo de registros de eventos específicos de Windows puede ayudar a las organizaciones a identificar y responder a posibles ataques de BitLocker, incluso en sus primeras etapas, como cuando los atacantes están probando sus capacidades de cifrado”.
“Al configurar BitLocker para almacenar información de recuperación en Active Directory Domain Services (AD DS) y aplicar la política “No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para las unidades del sistema operativo”, las organizaciones pueden reducir significativamente el riesgo de BitLocker basado en ataques.”