Bitdefender ha lanzado un descifrador para la variedad de ransomware “ShrinkLocker”, que utiliza la herramienta de cifrado de unidad BitLocker incorporada en Windows para bloquear los archivos de la víctima.
Descubierto en mayo de 2024 por investigadores de la empresa de ciberseguridad Kaspersky, ShrinkLocker carece de la sofisticación de otras familias de ransomware, pero integra funciones capaces de maximizar el daño de un ataque.
Según el análisis de Bitdefender, el malware parece haber sido reutilizado a partir de un código inocuo de hace una década, utilizando VBScript y explotando técnicas generalmente obsoletas.
Los investigadores señalan que los operadores de ShrinkLocker parecen no estar capacitados, utilizan código redundante y errores tipográficos, dejan registros de reconocimiento como archivos de texto y dependen de herramientas fácilmente disponibles.
Sin embargo, el actor de amenazas ha llevado a cabo ataques exitosos contra objetivos comerciales.
En un informe publicado hoy, Bitdefender destaca un ataque ShrinkLocker contra una organización de atención médica donde los atacantes cifraron dispositivos Windows 10, Windows 11 y Windows Server en la red, incluidas las copias de seguridad.
El proceso de cifrado se completó en 2,5 horas y la organización perdió el acceso a sistemas críticos, lo que podría tener dificultades para brindar atención a los pacientes.
Bitdefender lanza una herramienta de descifrado gratuita que puede ayudar a las víctimas de ShrinkLocker a recuperar sus archivos.
Ataques de ShrinkLocker
En lugar de utilizar implementaciones de cifrado personalizadas como el ransomware tradicional, ShrinkLocker utiliza Windows BitLocker con una contraseña generada aleatoriamente y enviada al atacante.
El malware primero ejecuta una consulta del Instrumental de administración de Windows (WMI) para verificar si BitLocker está disponible en el sistema de destino e instala la herramienta si no está presente.
Luego, elimina todas las protecciones predeterminadas que evitan el cifrado accidental de la unidad. Para mayor velocidad, utiliza el indicador “-UsedSpaceOnly” para que BitLocker solo cifre el espacio ocupado en el disco.
La contraseña aleatoria se genera utilizando el tráfico de red y los datos de uso de memoria. Por tanto, no existe ningún modelo que haga posible la fuerza bruta.
El script ShrinkLocker también eliminará y reconfigurará cualquier protector de BitLocker para que sea más difícil recuperar las claves de cifrado.
“Los guardianes son mecanismos utilizados por BitLocker para proteger la clave de cifrado. Pueden incluir protectores de hardware como TPM o protectores de software como contraseñas o claves de recuperación. Al eliminar todos los protectores, el script tiene como objetivo evitar que la víctima recupere sus datos o descifre el disco. “, explica Bitdefender.
Para la propagación, ShrinkLocker utiliza objetos de política de grupo (GPO) y tareas programadas, modifica la configuración de la política de grupo en los controladores de dominio de Active Directory y crea tareas para todas las máquinas unidas al dominio para garantizar el cifrado de todas las unidades en la red comprometida.
Fuente: Bitdefender
Después de reiniciar, las víctimas ven una pantalla de contraseña de BitLocker que también incluye la información de contacto del actor de la amenaza.
Fuente: Bitdefender
Bitdefender lanza un descifrador
Bitdefender creó y lanzó un descifrador que invierte la secuencia en la que ShrinkLocker elimina y reconfigura los protectores de BitLocker.
Los investigadores afirman haber identificado “una ventana de oportunidad específica para la recuperación de datos inmediatamente después de eliminar los protectores de las unidades cifradas con BitLocker”, lo que les permite descifrar y recuperar la contraseña establecida por el atacante.
Esto invierte el proceso de cifrado y devuelve los discos a su estado anterior sin cifrar.
Las víctimas de ShrinkLocker pueden descargar la herramienta y utilizarla desde una unidad USB conectada a los sistemas afectados. Cuando aparece la pantalla de recuperación de BitLocker, los usuarios deben ingresar al modo de recuperación de BitLocker y omitir todos los pasos para acceder a las opciones avanzadas, que brindan un símbolo del sistema para iniciar la herramienta de descifrado.
Fuente: Bitdefender
Los investigadores advierten que el tiempo necesario para descifrar los datos depende del hardware del sistema y de la complejidad del cifrado y podría llevar algún tiempo.
Una vez completado, el descifrador desbloqueará el lector y desactivará la autenticación con tarjeta inteligente.
Bitdefender señala que el descifrador solo funciona en Windows 10, Windows 11 y versiones recientes de Windows Server y es más efectivo cuando se usa poco después del ataque de ransomware, cuando las configuraciones de BitLocker aún no se reemplazan por completo y se pueden recuperar.
Desafortunadamente, este método no funcionará para recuperar contraseñas de BitLocker creadas con otros métodos.