ShrinkLocker Ransomware

Por Mezo em Ransomware

Traduzir Para:

Vários operadores de ransomware estão questionando a necessidade de integrar um mecanismo de bloqueio de criptografia em suas ameaças de malware, dada a disponibilidade do robusto software de criptografia da Microsoft no Windows. Um exemplo notável destacado por especialistas em segurança cibernética é o ShrinkLocker. Esta variante de ransomware estabelece uma nova partição de inicialização para criptografar sistemas corporativos utilizando o Windows BitLocker.

Índice

Os Autores de Ameaças Bloqueiam Dados Abusando um Recurso Legítimo do Windows

Instâncias de ransomware que empregam BitLocker para criptografar computadores não são incomuns. Em um caso, um agente de ameaça aproveitou esse recurso de segurança do Windows para criptografar 100 TB de dados em 40 servidores em um hospital na Bélgica. Da mesma forma, outro invasor utilizou o BitLocker para criptografar sistemas pertencentes a um produtor e distribuidor de carne com sede em Moscou. A Microsoft emitiu um aviso em setembro de 2022, revelando que um invasor patrocinado pelo Estado iraniano empregou o BitLocker para criptografar sistemas que executam Windows 10, Windows 11 ou Windows Server 2016 e mais recentes.

No entanto, ao examinarem o ShrinkLocker, os especialistas alertam que esta ameaça apresenta características anteriormente não reveladas, destinadas a amplificar a extensão do impacto do ataque.

O ShrinkLocker é Executado Somente Quando Certas Especificações são Atendidas

ShrinkLocker, codificado em Visual Basic Scripting (VBScript), uma linguagem introduzida pela Microsoft em 1996 e agora está em vias de extinção. Entre suas funcionalidades, a ameaça demonstra a capacidade de identificar a versão específica do Windows em execução na máquina alvo, utilizando o Windows Management Instrumentation (WMI) com a classe Win32_OperatingSystem.

O ataque ocorre apenas sob condições específicas, como o domínio atual correspondente ao alvo e a versão do sistema operacional (SO) mais recente que o Vista. Caso contrário, o ShrinkLocker será concluído automaticamente e autoexcluído. Quando o alvo atende aos critérios do ataque, o malware utiliza o utilitário de parte do disco no Windows para reduzir cada partição que não seja de inicialização em 100 MB, dividindo o espaço não alocado em novos volumes primários de tamanhos idênticos.

Os pesquisadores observam que no Windows 2008 e 2012, o ShrinkLocker Ransomware preserva inicialmente os arquivos de inicialização junto com o índice de outros volumes. Operações de redimensionamento semelhantes são realizadas em outras versões do sistema operacional Windows, embora com segmentos de código diferentes, conforme descrito na análise técnica dos pesquisadores. Posteriormente, o malware emprega a ferramenta de linha de comando BCDEdit para reinstalar os arquivos de inicialização nas partições recém-geradas.

O ShrinkLocker Ransomware Inutiliza os Dados de Partições Inteiras da Unidade

O ShrinkLocker também modifica as entradas do registro para desabilitar conexões de área de trabalho remota ou habilitar a criptografia BitLocker em hosts sem um Trusted Platform Module (TPM). Este chip dedicado fornece funções relacionadas à segurança baseadas em hardware.

O agente da ameaça por trás do ShrinkLocker não envia um arquivo de resgate para estabelecer um canal de comunicação com a vítima. Em vez disso, eles fornecem um endereço de e-mail de contato (onboardingbinder@proton.me, conspirationid9@protonmail.com) como rótulo das novas partições de inicialização. No entanto, esse rótulo não será visto pelos administradores, a menos que eles inicializem o dispositivo usando um ambiente de recuperação ou outras ferramentas de diagnóstico, tornando-o bastante fácil de perder.

Depois de criptografar as unidades, o agente da ameaça exclui os protetores do BitLocker (por exemplo, TPM, PIN, chave de inicialização, senha, senha de recuperação, chave de recuperação) para negar à vítima qualquer opção de recuperação da chave de criptografia do BitLocker, que é enviada ao invasor.

A chave gerada para criptografar arquivos é uma combinação de 64 caracteres de multiplicação aleatória e substituição de uma variável por números de 0 a 9, caracteres especiais e a frase holoalfabética 'A rápida raposa marrom salta sobre o cachorro preguiçoso'. A chave é entregue por meio da ferramenta TryCloudflare, um serviço legítimo para desenvolvedores experimentarem o Tunnel da CloudFlare sem adicionar um site ao DNS da CloudFlare.

No estágio final do ataque, o ShrinkLocker força o desligamento do sistema para que todas as alterações tenham efeito e deixa o usuário com as unidades bloqueadas e sem opções de recuperação do BitLocker.

Os Autores da Ameaça ShrinkLocker podem não ser Motivados Financeiramente

O BitLocker oferece a opção de criar uma mensagem personalizada nas telas de recuperação, fornecendo uma plataforma ideal para exibir uma mensagem de extorsão às vítimas. A ausência de uma nota de resgate exibida de forma destacada e de um e-mail meramente designado como um rótulo de unidade pode sugerir que esses ataques têm a intenção de ser de natureza mais destrutiva, em vez de serem motivados por motivos financeiros.

Os pesquisadores descobriram que o ShrinkLocker se manifesta em múltiplas variantes e foi implantado contra uma entidade governamental, bem como contra organizações dos setores de aço e fabricação de vacinas no México, na Indonésia e na Jordânia.

As empresas que utilizam o BitLocker em seus sistemas são fortemente aconselhadas a garantir o armazenamento seguro das chaves de recuperação e a manter backups off-line regulares que são testados periodicamente. Além disso, as organizações são incentivadas a implantar uma solução Endpoint Protection Platform (EPP) devidamente configurada para detectar tentativas de abuso do BitLocker, impor privilégios mínimos de usuário, permitir registro e monitoramento abrangentes do tráfego de rede (incluindo solicitações GET e POST), rastrear eventos associados a Execução de VBS e PowerShell e registro de scripts pertinentes.