ShrinkLocker ransomware
Numerosos operadores de ransomware cuestionan la necesidad de integrar un mecanismo de bloqueo criptográfico en sus amenazas de malware, dada la disponibilidad del robusto software de cifrado de Microsoft en Windows. Un ejemplo notable destacado por los expertos en ciberseguridad es ShrinkLocker. Esta variante de ransomware establece una nueva partición de inicio para cifrar sistemas corporativos utilizando Windows BitLocker.
Tabla de contenido
Los actores de amenazas bloquean datos abusando de una característica legítima de Windows
Los casos de ransomware que emplean BitLocker para cifrar computadoras no son infrecuentes. En un caso, un actor de amenazas aprovechó esta característica de seguridad dentro de Windows para cifrar 100 TB de datos en 40 servidores en un hospital de Bélgica. De manera similar, otro atacante utilizó BitLocker para cifrar sistemas pertenecientes a un productor y distribuidor de carne con sede en Moscú. Microsoft emitió una advertencia en septiembre de 2022, revelando que un atacante patrocinado por el estado iraní había empleado BitLocker para cifrar sistemas que ejecutaban Windows 10, Windows 11 o Windows Server 2016 y versiones posteriores.
Sin embargo, al examinar ShrinkLocker, los expertos advierten que esta amenaza presenta características no reveladas anteriormente destinadas a amplificar el alcance del impacto del ataque.
ShrinkLocker se ejecuta solo cuando se cumplen ciertas especificaciones
ShrinkLocker, codificado en Visual Basic Scripting (VBScript), un lenguaje introducido por Microsoft allá por 1996 y que ahora está a punto de desaparecer. Entre sus funcionalidades, la amenaza demuestra la capacidad de identificar la versión específica de Windows que se ejecuta en la máquina de destino mediante el uso del Instrumental de administración de Windows (WMI) con la clase Win32_OperatingSystem.
El ataque se produce sólo bajo condiciones específicas, como que el dominio actual coincida con el objetivo y que la versión del sistema operativo (SO) sea más reciente que Vista. De lo contrario, ShrinkLocker concluye automáticamente y se autoborra. Cuando el objetivo cumple con los criterios del ataque, el malware utiliza la utilidad disk part de Windows para reducir cada partición que no sea de arranque en 100 MB, dividiendo el espacio no asignado en nuevos volúmenes primarios de tamaños idénticos.
Los investigadores señalan que en Windows 2008 y 2012, ShrinkLocker Ransomware inicialmente conserva los archivos de arranque junto con el índice de otros volúmenes. Se llevan a cabo operaciones de cambio de tamaño similares en otras versiones del sistema operativo Windows, aunque con diferentes segmentos de código, como se describe en el análisis técnico de los investigadores. Posteriormente, el malware emplea la herramienta de línea de comandos BCDEdit para reinstalar los archivos de inicio en las particiones recién generadas.
El ransomware ShrinkLocker inutiliza los datos de particiones enteras de la unidad
ShrinkLocker también modifica las entradas del registro para deshabilitar las conexiones de escritorio remoto o habilitar el cifrado BitLocker en hosts sin un Módulo de plataforma confiable (TPM). Este chip dedicado proporciona funciones relacionadas con la seguridad basadas en hardware.
El actor de amenazas detrás de ShrinkLocker no suelta un archivo de rescate para establecer un canal de comunicación con la víctima. En su lugar, proporcionan una dirección de correo electrónico de contacto (onboardingbinder@proton.me, conspiracyid9@protonmail.com) como etiqueta de las nuevas particiones de arranque. Sin embargo, los administradores no verán esta etiqueta a menos que inicien el dispositivo usando un entorno de recuperación o mediante otras herramientas de diagnóstico, lo que hace que sea bastante fácil pasarla por alto.
Después de cifrar las unidades, el actor de la amenaza elimina los protectores de BitLocker (por ejemplo, TPM, PIN, clave de inicio, contraseña, contraseña de recuperación, clave de recuperación) para negarle a la víctima cualquier opción para recuperar la clave de cifrado de BitLocker, que se envía al atacante.
La clave generada para cifrar archivos es una combinación de 64 caracteres de multiplicación aleatoria y reemplazo de una variable con números del 0 al 9, caracteres especiales y la frase holoalfabética "El veloz zorro marrón salta sobre el perro perezoso". La clave se entrega a través de la herramienta TryCloudflare, un servicio legítimo para que los desarrolladores experimenten con el Túnel de CloudFlare sin agregar un sitio al DNS de CloudFlare.
En la etapa final del ataque, ShrinkLocker obliga al sistema a apagarse para que todos los cambios surtan efecto y deja al usuario con las unidades bloqueadas y sin opciones de recuperación de BitLocker.
Es posible que los actores de la amenaza ShrinkLocker no estén motivados financieramente
BitLocker ofrece la opción de crear un mensaje personalizado en las pantallas de recuperación, proporcionando una plataforma ideal para mostrar un mensaje de extorsión a las víctimas. La ausencia de una nota de rescate visible y de un correo electrónico simplemente designado como etiqueta de unidad podría sugerir que estos ataques pretenden ser de naturaleza más destructiva que motivados por motivos financieros.
Los investigadores han descubierto que ShrinkLocker se manifiesta en múltiples variantes y se ha implementado contra una entidad gubernamental, así como contra organizaciones dentro de los sectores de fabricación de acero y vacunas en México, Indonesia y Jordania.
Se recomienda encarecidamente a las empresas que emplean BitLocker en sus sistemas que garanticen el almacenamiento seguro de las claves de recuperación y mantengan copias de seguridad fuera de línea periódicas que se prueban periódicamente. Además, se insta a las organizaciones a implementar una solución Endpoint Protection Platform (EPP) configurada correctamente para detectar intentos de abuso de BitLocker, imponer privilegios mínimos de usuario, permitir el registro y monitoreo completos del tráfico de red (incluidas las solicitudes GET y POST), rastrear eventos asociados con Ejecución de VBS y PowerShell, y registro de scripts pertinentes.
Video ShrinkLocker ransomware
Consejo: encienda el sonido y mire el video en modo de pantalla completa .
