ShrinkLocker Ransomware

El Mezo el Ransomware

Traduir a:

Nombrosos operadors de ransomware qüestionen la necessitat d'integrar un mecanisme de bloqueig de criptografia a les seves amenaces de programari maliciós, donada la disponibilitat del robust programari de xifratge de Microsoft a Windows. Un exemple notable destacat pels experts en ciberseguretat és ShrinkLocker. Aquesta variant de ransomware estableix una nova partició d'arrencada per xifrar els sistemes corporatius mitjançant Windows BitLocker.

Taula de continguts

Els actors d'amenaça bloquegen les dades abusant de la funció legítima de Windows

Les instàncies de ransomware que utilitzen BitLocker per xifrar ordinadors no són infreqüents. En un cas, un actor d'amenaces va aprofitar aquesta funció de seguretat a Windows per xifrar 100 TB de dades en 40 servidors d'un hospital de Bèlgica. De la mateixa manera, un altre atacant va utilitzar BitLocker per xifrar sistemes que pertanyien a un productor i distribuïdor de carn amb seu a Moscou. Microsoft va emetre un avís el setembre de 2022, revelant que un atacant patrocinat per l'estat iranià havia emprat BitLocker per xifrar sistemes amb Windows 10, Windows 11 o Windows Server 2016 i posteriors.

Tanmateix, en examinar ShrinkLocker, els experts adverteixen que aquesta amenaça presenta característiques no revelades anteriorment destinades a amplificar l'abast de l'impacte de l'atac.

ShrinkLocker només s'executa quan es compleixen determinades especificacions

ShrinkLocker, codificat en Visual Basic Scripting (VBScript), un llenguatge introduït per Microsoft l'any 1996 i que ara està en marxa. Entre les seves funcionalitats, l'amenaça demostra la capacitat d'identificar la versió específica de Windows que s'executa a la màquina de destinació utilitzant Windows Management Instrumentation (WMI) amb la classe Win32_OperatingSystem.

L'atac només es produeix en condicions específiques, com ara el domini actual que coincideix amb l'objectiu i la versió del sistema operatiu (SO) és més recent que Vista. En cas contrari, ShrinkLocker conclou automàticament i s'elimina automàticament. Quan l'objectiu compleix els criteris de l'atac, el programari maliciós utilitza la utilitat de la part del disc a Windows per reduir en 100 MB totes les particions que no són d'arrencada, dividint l'espai no assignat en nous volums primaris de mides idèntiques.

Els investigadors assenyalen que a Windows 2008 i 2012, ShrinkLocker Ransomware conserva inicialment els fitxers d'arrencada juntament amb l'índex d'altres volums. Es realitzen operacions de canvi de mida similars en altres versions del sistema operatiu Windows, encara que amb diferents segments de codi, tal com es descriu a l'anàlisi tècnica dels investigadors. Posteriorment, el programari maliciós utilitza l'eina de línia d'ordres BCDEdit per reinstal·lar els fitxers d'arrencada a les particions recentment generades.

El ShrinkLocker Ransomware fa que les dades de les particions de la unitat senceres siguin inutilitzables

ShrinkLocker també modifica les entrades del registre per desactivar les connexions d'escriptori remot o habilitar el xifratge BitLocker als amfitrions sense un mòdul de plataforma de confiança (TPM). Aquest xip dedicat proporciona funcions relacionades amb la seguretat basades en maquinari.

L'actor d'amenaça darrere de ShrinkLocker no deixa caure un fitxer de rescat per establir un canal de comunicació amb la víctima. En lloc d'això, proporcionen una adreça de correu electrònic de contacte (onboardingbinder@proton.me, conspiracyid9@protonmail.com) com a etiqueta de les noves particions d'arrencada. Tanmateix, els administradors no veuran aquesta etiqueta tret que arrenquin el dispositiu mitjançant un entorn de recuperació o mitjançant altres eines de diagnòstic, cosa que fa que sigui bastant fàcil de perdre's.

Després de xifrar les unitats, l'actor de l'amenaça elimina els protectors de BitLocker (per exemple, TPM, PIN, clau d'inici, contrasenya, contrasenya de recuperació, clau de recuperació) per negar a la víctima qualsevol opció per recuperar la clau de xifratge de BitLocker, que s'envia a l'atacant.

La clau generada per xifrar fitxers és una combinació de 64 caràcters de multiplicació aleatòria i substitució d'una variable amb números del 0 al 9, caràcters especials i la frase holoalfabètica "La guineu marró ràpida salta per sobre del gos mandrós". La clau es lliura mitjançant l'eina TryCloudflare, un servei legítim perquè els desenvolupadors experimentin amb el túnel de CloudFlare sense afegir un lloc al DNS de CloudFlare.

A l'etapa final de l'atac, ShrinkLocker obliga el sistema a tancar-se perquè tots els canvis tinguin efecte i deixar l'usuari amb les unitats bloquejades i sense opcions de recuperació de BitLocker.

És possible que els actors d'amenaça ShrinkLocker no estiguin orientats econòmicament

BitLocker ofereix l'opció de crear un missatge personalitzat a les pantalles de recuperació, proporcionant una plataforma ideal per mostrar un missatge d'extorsió a les víctimes. L'absència d'una nota de rescat que es mostri de manera destacada i d'un correu electrònic només designat com a etiqueta d'unitat podria suggerir que aquests atacs tenen la intenció de ser de naturalesa més destructiva que no pas per motius financers.

Els investigadors han descobert que ShrinkLocker es manifesta en múltiples variants i s'ha desplegat contra una entitat governamental, així com contra organitzacions dels sectors de fabricació d'acer i vacunes a Mèxic, Indonèsia i Jordània.

Es recomana a les empreses que utilitzen BitLocker als seus sistemes que garanteixin l'emmagatzematge segur de les claus de recuperació i que mantinguin còpies de seguretat fora de línia periòdiques que es comproven periòdicament. A més, es demana a les organitzacions que implementin una solució d'Endpoint Protection Platform (EPP) configurada correctament per detectar intents d'abús de BitLocker, fer complir els privilegis d'usuari mínims, permetre un registre i un seguiment complets del trànsit de xarxa (incloses les sol·licituds GET i POST), fer un seguiment dels esdeveniments associats amb Execució de VBS i PowerShell i registre scripts pertinents.