{"id":1439020,"date":"2024-11-13T14:54:47","date_gmt":"2024-11-13T14:54:47","guid":{"rendered":"https:\/\/teknomers.com\/es\/lanzamiento-de-decryptor-gratuito-para-victimas-del-ransomware-shrinklocker-basado-en-bitlocker\/"},"modified":"2024-11-13T14:54:52","modified_gmt":"2024-11-13T14:54:52","slug":"lanzamiento-de-decryptor-gratuito-para-victimas-del-ransomware-shrinklocker-basado-en-bitlocker","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/lanzamiento-de-decryptor-gratuito-para-victimas-del-ransomware-shrinklocker-basado-en-bitlocker\/","title":{"rendered":"Lanzamiento de Decryptor gratuito para v\u00edctimas del ransomware ShrinkLocker basado en BitLocker"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Lanzamiento-de-Decryptor-gratuito-para-victimas-del-ransomware-ShrinkLocker-basado.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>La empresa rumana de ciberseguridad Bitdefender ha lanzado un descifrador gratuito para ayudar a las v\u00edctimas a recuperar datos cifrados mediante el ransomware ShrinkLocker.<\/p>\n<p>El descifrador es el resultado de un <a rel=\"noopener nofollow\" href=\"https:\/\/www.bitdefender.com\/en-us\/blog\/businessinsights\/shrinklocker-decryptor-from-friend-to-foe-and-back-again\" target=\"_blank\">an\u00e1lisis integral<\/a> del funcionamiento interno de ShrinkLocker, lo que permiti\u00f3 a los investigadores descubrir una &#8220;ventana de oportunidad espec\u00edfica para la recuperaci\u00f3n de datos inmediatamente despu\u00e9s de la eliminaci\u00f3n de los protectores de los discos cifrados con BitLocker&#8221;.<\/p>\n<p>ShrinkLocker fue documentado por primera vez en mayo de 2024 por Kaspersky, que encontr\u00f3 el uso por parte del malware de la utilidad BitLocker nativa de Microsoft para cifrar archivos como parte de ataques de extorsi\u00f3n dirigidos a M\u00e9xico, Indonesia y Jordania.<\/p>\n<p>Bitdefender, que investig\u00f3 un incidente de ShrinkLocker dirigido a una empresa de atenci\u00f3n m\u00e9dica no identificada en Medio Oriente, dijo que el ataque probablemente se origin\u00f3 en una m\u00e1quina perteneciente a un contratista, lo que resalta una vez m\u00e1s c\u00f3mo los actores de amenazas son cada vez m\u00e1s <a rel=\"noopener nofollow\" href=\"https:\/\/securelist.com\/trusted-relationship-attack\/112731\/\" target=\"_blank\">abusar de las relaciones de confianza<\/a> infiltrarse en la cadena de suministro.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/zerotrust-inside-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1731050243_236_CISA-alerta-sobre-la-explotacion-activa-de-la-vulnerabilidad-critica.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>En la siguiente etapa, el actor de la amenaza se movi\u00f3 lateralmente a un controlador de dominio de Active Directory haciendo uso de credenciales leg\u00edtimas para una cuenta comprometida, seguido de la creaci\u00f3n de dos tareas programadas para activar el proceso de ransomware.<\/p>\n<p>Mientras que la primera tarea ejecut\u00f3 un script de Visual Basic (&#8220;Check.vbs&#8221;) que copiaba el programa ransomware en cada m\u00e1quina unida al dominio, la segunda tarea, programada para dos d\u00edas despu\u00e9s, ejecut\u00f3 el ransomware implementado localmente (&#8220;Audit.vbs&#8221;) .<\/p>\n<p>El ataque, dijo Bitdefender, cifr\u00f3 con \u00e9xito sistemas que ejecutan Windows 10, Windows 11, Windows Server 2016 y Windows Server 2019. Dicho esto, se dice que la variante ShrinkLocker utilizada es una versi\u00f3n modificada de la versi\u00f3n original.<\/p>\n<p>Descrito como simple pero efectivo, el ransomware se destaca por el hecho de que est\u00e1 escrito en VBScript, un lenguaje de secuencias de comandos que, seg\u00fan Microsoft, quedar\u00e1 obsoleto a partir de la segunda mitad de 2024. Adem\u00e1s, en lugar de implementar su propio algoritmo de cifrado, el malware utiliza BitLocker como arma para lograr sus objetivos.<\/p>\n<p>El script est\u00e1 dise\u00f1ado para recopilar informaci\u00f3n sobre la configuraci\u00f3n del sistema y el sistema operativo, despu\u00e9s de lo cual intenta verificar si BitLocker ya est\u00e1 instalado en una m\u00e1quina con Windows Server y, si no, lo instala usando un comando de PowerShell y luego realiza un &#8220;reinicio forzado&#8221;. usando <a rel=\"noopener nofollow\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/cimwin32prov\/win32shutdown-method-in-class-win32-operatingsystem\" target=\"_blank\">Apagado de Win32<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1731509685_596_Lanzamiento-de-Decryptor-gratuito-para-victimas-del-ransomware-ShrinkLocker-basado.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1731509685_596_Lanzamiento-de-Decryptor-gratuito-para-victimas-del-ransomware-ShrinkLocker-basado.png\" alt=\"ShrinkLocker ransomware\" border=\"0\" data-original-height=\"701\" data-original-width=\"1600\" title=\"ShrinkLocker ransomware\"\/><\/a><\/div>\n<p>Pero Bitdefender dijo que not\u00f3 un error que hace que esta solicitud falle con un error de &#8220;Privilegio no retenido&#8221;, lo que provoca que VBScript se atasque en un bucle infinito debido a un intento fallido de reinicio.<\/p>\n<p>&#8220;Incluso si el servidor se reinicia manualmente (por ejemplo, por un administrador desprevenido), el script no tiene un mecanismo para reanudar su ejecuci\u00f3n despu\u00e9s del reinicio, lo que significa que el ataque puede interrumpirse o prevenirse&#8221;, Martin Zugec, director de soluciones t\u00e9cnicas de Bitdefender. , dicho.<\/p>\n<p>El ransomware est\u00e1 dise\u00f1ado para generar una contrase\u00f1a aleatoria que se deriva de informaci\u00f3n espec\u00edfica del sistema, como el tr\u00e1fico de red, la memoria del sistema y la utilizaci\u00f3n del disco, y la utiliza para cifrar las unidades del sistema.<\/p>\n<p>Luego, la contrase\u00f1a \u00fanica se carga en un servidor controlado por el atacante. Despu\u00e9s del reinicio, se solicita al usuario que ingrese la contrase\u00f1a para desbloquear la unidad cifrada. La pantalla de BitLocker tambi\u00e9n est\u00e1 configurada para mostrar la direcci\u00f3n de correo electr\u00f3nico de contacto del actor de la amenaza para iniciar el pago a cambio de la contrase\u00f1a.<\/p>\n<p>Eso no es todo. El script realiza varias modificaciones en el Registro para restringir el acceso al sistema al deshabilitar las conexiones RDP remotas y desactivar los inicios de sesi\u00f3n locales basados \u200b\u200ben contrase\u00f1as. Como parte de sus esfuerzos de limpieza, tambi\u00e9n desactiva las reglas del Firewall de Windows y elimina archivos de auditor\u00eda.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/cis-nov\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/1730452711_528_Microsoft-retrasa-la-retirada-del-mercado-de-Windows-Copilot-por.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Bitdefender se\u00f1al\u00f3 adem\u00e1s que el nombre ShrinkLocker es enga\u00f1oso ya que la funcionalidad del mismo nombre se limita a los sistemas Windows heredados y que en realidad no reduce las particiones en los sistemas operativos actuales.<\/p>\n<p>&#8220;Al utilizar una combinaci\u00f3n de objetos de pol\u00edtica de grupo (GPO) y tareas programadas, puede cifrar m\u00faltiples sistemas dentro de una red en tan solo 10 minutos por dispositivo&#8221;, se\u00f1al\u00f3 Zugec. &#8220;Como resultado, se puede lograr un compromiso completo de un dominio con muy poco esfuerzo&#8221;.<\/p>\n<p>&#8220;El monitoreo proactivo de registros de eventos espec\u00edficos de Windows puede ayudar a las organizaciones a identificar y responder a posibles ataques de BitLocker, incluso en sus primeras etapas, como cuando los atacantes est\u00e1n probando sus capacidades de cifrado&#8221;.<\/p>\n<p>&#8220;Al configurar BitLocker para almacenar informaci\u00f3n de recuperaci\u00f3n en Active Directory Domain Services (AD DS) y aplicar la pol\u00edtica &#8220;No habilitar BitLocker hasta que la informaci\u00f3n de recuperaci\u00f3n se almacene en AD DS para las unidades del sistema operativo&#8221;, las organizaciones pueden reducir significativamente el riesgo de BitLocker basado en ataques.&#8221;<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/11\/free-decryptor-released-for-bitlocker.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>La empresa rumana de ciberseguridad Bitdefender ha lanzado un descifrador gratuito para ayudar a las v\u00edctimas a recuperar<\/p>\n","protected":false},"author":1,"featured_media":1439021,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,19772,63979,4664,224854,38,23203,10766,201033,4654,201031,4659,4653,4655,18,4883,246983,255454,246984,262810,201032,1759,246982,4660],"class_list":["post-1439020","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-basado","tag-bitlocker","tag-como-hackear","tag-decryptor","tag-del","tag-gratuito","tag-lanzamiento","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-ransomware","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-shrinklocker","tag-software-malicioso-ransomware","tag-victimas","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1439020","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1439020"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1439020\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1439021"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1439020"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1439020"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1439020"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}