La empresa rumana Bitdefender ha lanzado un descifrador gratuito para ayudar a las víctimas de un ransomware llamado ShrinkLocker, una amenaza que ha estado generando pánico en el sector de la ciberseguridad, pues tiene un enfoque inusual: no utiliza algoritmos de cifrado propio, sino que emplea BitLocker, una herramienta de cifrado nativa de Microsoft, cuya función principal es proteger datos almacenados en discos duros, usado para impedir acceso a archivos y exigiendo rescates a las víctimas de estos. La primera detección del malware fue en mayo de 2024, en ataques dirigidos a organizaciones en México, Indonesia y Jordania, y recientemente también se documentaron incidentes en empresas de Oriente Medio.
El modus operandi que hace especial a ShrinkLocker, es que se basa en aprovechar BitLocker, la herramienta de Microsoft mencionada previamente. En lugar de crear un cifrado personalizado, el malware ejecuta BitLocker en los discos comprometidos, limitando el cifrado al espacio del disco para disminuir el tiempo en el que se realiza esta operación. Seguidamente, genera una contraseña aleatoria, la que normalmente se generaría para proteger el disco, utilizando además parámetros del sistema (tráfico de la red, uso de memoria, etc.), haciendo así casi imposible obtenerla mediante técnicas convencionales como un ataque de fuerza bruta. La contraseña se envía a los servidores del atacante, y una vez la víctima reinicia el sistema, verá la pantalla de BitLocker solicitando la contraseña junto a los datos del atacante para poder negociar el rescate.
Este malware escrito en VBScript, un lenguaje de Microsoft en proceso de ser obsoleto, recopila información sobre el sistema y revisa si en el dispositivo está instalado BitLocker, y si no lo estuviese, lo instala con comandos de PowerShell. Seguidamente realiza configuraciones para deshabilitar las conexiones de acceso remoto y bloquea los métodos más usados de autenticación, para complicar aún más la recuperación de los datos. Estos scripts también aprovechan las GPOs (Group Policy Objects), una característica de Windows utilizada para gestionar los ajustes de los equipos en una red, así afectando a múltiples equipos en cuestión de minutos y agilizando este proceso en redes corporativas. Esto se ve en uno de los análisis que realizó Bitdefender, que mostraron cómo ShrinkLocker ingresó a una red corporativa aprovechando una vulnerabilidad común en la cadena de suministro, y utilizando una cuenta comprometida que pertenecía a un contratista. A raíz de esto, los atacantes consiguieron acceso a los controladores de dominio de la red y crearon tareas programadas para distribuir el malware a todos los dispositivos de la organización.
Tras esto, Bitdefender aprovechó una “ventana de oportunidad” para investigar y desarrollar un descifrador gratuito, para así poder recuperar los datos antes de que el malware sobrescriba completamente los datos. El descifrador revierte el proceso de eliminación y las “protecciones» de BitLocker de las cuales abusa el malware, para así poder recuperar la contraseña generada y devolver los discos al estado original. También explican que la herramienta es más efectiva si se utiliza poco después de recibir el ataque, y que se puede utilizar desde un USB en las máquinas afectadas. Sin embargo, es únicamente compatible con las versiones más recientes de Windows 10, 11 y Server, y su tiempo de ejecución puede depender de la complejidad del cifrado y el hardware del sistema.
Las recomendaciones que Bitdefender sugiere para prevenir ataques de este tipo son varias, como configurar BitLocker para que almacene la información de recuperación en ADDS (Active Directory Domain Services), un servicio que facilita la gestión centralizada de datos de seguridad en redes de Windows. Por otro lado, sugieren a las organizaciones que implementen monitorización proactiva a los registros de eventos, pudiendo esto permitirles detectar actividades sospechosas de ransomware preventivamente.
Este avance en la lucha contra el ransomware proporciona una herramienta eficaz para ayudar a las víctimas de este ataque, y subraya lo importante que es tener altas medidas de seguridad en redes corporativas, ya que las amenazas pueden llegar a ser cada vez más sofisticadas.
Más información
Referencias
- ShrinkLocker (+Decryptor): From Friend to Foe, and Back Again https://www.bitdefender.com/en-us/blog/businessinsights/shrinklocker-decryptor-from-friend-to-foe-and-back-again
- New ShrinkLocker ransomware decryptor recovers BitLocker password https://www.bleepingcomputer.com/news/security/new-shrinklocker-ransomware-decryptor-recovers-bitlocker-password
- Free Decryptor Released for BitLocker-Based ShrinkLocker Ransomware Victims https://thehackernews.com/2024/11/free-decryptor-released-for-bitlocker.html
Deja una respuesta