Basado en BitLocker, ha sido publicado por Bitdefender
La empresa rumana de ciberseguridad Bitdefender ha lanzado un descifrador gratuito para ayudar a las víctimas a recuperar datos cifrados mediante el ransomware ShrinkLocker.
El descifrador es el resultado de un análisis exhaustivo del funcionamiento interno de ShrinkLocker, lo que permitió a los investigadores descubrir una "ventana de oportunidad específica para la recuperación de datos inmediatamente después de la eliminación de los protectores de los discos cifrados con BitLocker".
ShrinkLocker fue documentado por primera vez en mayo de 2024 por Kaspersky, que descubrió que el malware utilizaba la utilidad nativa BitLocker de Microsoft para cifrar archivos como parte de ataques de extorsión dirigidos a México, Indonesia y Jordania.
Bitdefender, que investigó un incidente de ShrinkLocker dirigido a una empresa de atención médica anónima en Medio Oriente, dijo que el ataque probablemente se originó en una máquina perteneciente a un contratista, lo que destaca una vez más cómo los actores de amenazas están abusando cada vez más de las relaciones de confianza para infiltrarse en la cadena de suministro.
En la siguiente etapa, el actor de amenazas se movió lateralmente a un controlador de dominio de Active Directory haciendo uso de credenciales legítimas para una cuenta comprometida, seguido de la creación de dos tareas programadas para activar el proceso de ransomware.
Mientras que la primera tarea ejecutó un script de Visual Basic ("Check.vbs") que copió el programa ransomware en cada máquina unida al dominio, la segunda tarea, programada para dos días después, ejecutó el ransomware implementado localmente ("Audit.vbs").
Bitdefender afirmó que el ataque encriptó con éxito sistemas con Windows 10, Windows 11, Windows Server 2016 y Windows Server 2019. Dicho esto, se dice que la variante de ShrinkLocker utilizada es una versión modificada de la versión original.
Descrito como simple pero efectivo, el ransomware se destaca por el hecho de que está escrito en VBScript, un lenguaje de programación que, según Microsoft, quedará obsoleto a partir de la segunda mitad de 2024. Además, en lugar de implementar su propio algoritmo de cifrado, el malware utiliza BitLocker como arma para lograr sus objetivos.
El script está diseñado para recopilar información sobre la configuración del sistema y el sistema operativo, después de lo cual intenta verificar si BitLocker ya está instalado en una máquina Windows Server y, si no, lo instala mediante un comando de PowerShell y luego realiza un "reinicio forzado" usando Win32Shutdown.
Pero Bitdefender dijo que detectó un error que hace que esta solicitud falle con un error de "Privilegio no mantenido", lo que provoca que VBScript quede bloqueado en un bucle infinito debido a un intento de reinicio fallido.
"Incluso si el servidor se reinicia manualmente (por ejemplo, por un administrador desprevenido), el script no tiene un mecanismo para reanudar su ejecución después del reinicio, lo que significa que el ataque puede interrumpirse o prevenirse", dijo Martin Zugec, director de soluciones técnicas de Bitdefender.
El ransomware está diseñado para generar una contraseña aleatoria derivada de información específica del sistema, como el tráfico de red, la memoria del sistema y la utilización del disco, utilizándola para cifrar las unidades del sistema.
La contraseña única se carga luego en un servidor controlado por el atacante. Después del reinicio, se le solicita al usuario que ingrese la contraseña para desbloquear la unidad cifrada. La pantalla de BitLocker también está configurada para mostrar la dirección de correo electrónico de contacto del actor de la amenaza para iniciar el pago a cambio de la contraseña.
Pero eso no es todo. El script realiza varias modificaciones en el Registro para restringir el acceso al sistema deshabilitando las conexiones RDP remotas y desactivando los inicios de sesión locales basados en contraseñas. Como parte de sus esfuerzos de limpieza, también deshabilita las reglas del Firewall de Windows y elimina los archivos de auditoría.
Bitdefender señaló además que el nombre ShrinkLocker es engañoso, ya que la funcionalidad del mismo nombre está limitada a los sistemas Windows heredados y que en realidad no reduce las particiones en los sistemas operativos actuales.
"Al utilizar una combinación de objetos de política de grupo (GPO) y tareas programadas, puede cifrar múltiples sistemas dentro de una red en tan sólo 10 minutos por dispositivo", señaló Zugec. "De este modo, se puede conseguir un compromiso completo de un dominio con muy poco esfuerzo".
"El monitoreo proactivo de registros de eventos específicos de Windows puede ayudar a las organizaciones a identificar y responder a posibles ataques de BitLocker, incluso en sus primeras etapas, como cuando los atacantes están probando sus capacidades de cifrado".
"Al configurar BitLocker para almacenar información de recuperación en los Servicios de dominio de Active Directory (AD DS) y aplicar la política "No habilitar BitLocker hasta que la información de recuperación se almacene en AD DS para las unidades del sistema operativo", las organizaciones pueden reducir significativamente el riesgo de ataques basados en BitLocker".