A empresa romena de segurança cibernética Bitdefender revelou um descriptografador gratuito para ajudar as vítimas a recuperar dados criptografados pelo ransomware ShrinkLocker.
O descriptografador é o resultado de um exame extensivo dos mecanismos internos do ShrinkLocker, permitindo que os pesquisadores identifiquem uma “janela de oportunidade específica para recuperação de dados imediatamente após os protetores serem removidos das unidades criptografadas pelo BitLocker.”
O ShrinkLocker foi identificado inicialmente em maio de 2024 pela Kaspersky, que descobriu o uso do malware da ferramenta nativa BitLocker da Microsoft para criptografar arquivos em ataques de extorsão direcionados ao México, Indonésia e Jordânia.
A Bitdefender, que analisou um incidente do ShrinkLocker envolvendo um provedor de saúde não identificado no Oriente Médio, relatou que o ataque provavelmente se originou de uma máquina operada por um contratado, ressaltando o crescente abuso de relacionamentos confiáveis por agentes de ameaças para comprometer as cadeias de suprimentos.
Na fase seguinte, o invasor moveu-se lateralmente para um controlador de domínio do Active Directory usando credenciais legítimas para uma conta comprometida, seguido pela configuração de duas tarefas agendadas para iniciar o processo de ransomware.
A primeira tarefa executou um Visual Basic Script (“Check.vbs”) para propagar o ransomware em todas as máquinas vinculadas ao domínio, enquanto a segunda tarefa — agendada para dois dias depois — ativou o ransomware implantado localmente (“Audit.vbs”).
O ataque, de acordo com a Bitdefender, criptografou com sucesso sistemas executando Windows 10, Windows 11, Windows Server 2016 e Windows Server 2019. Notavelmente, acredita-se que a variante ShrinkLocker empregada seja uma versão modificada do original.
Caracterizado como direto e eficaz, o ransomware é notável por ser codificado em VBScript, uma linguagem de script que a Microsoft declarou que será descontinuada a partir do segundo semestre de 2024. Além disso, em vez de implementar seu próprio método de criptografia, o malware utiliza o BitLocker para atingir seus objetivos.
O script é programado para coletar informações sobre a configuração do sistema e detalhes do sistema operacional, verificando posteriormente a instalação do BitLocker em uma máquina Windows Server. Se o BitLocker não for encontrado, ele o instala usando um comando do PowerShell, seguido por uma “reinicialização forçada” usando Win32Shutdown.
No entanto, a Bitdefender relatou ter descoberto um bug que aciona um erro “Privilégio Não Mantido“, resultando no VBScript entrando em um loop infinito devido a uma tentativa de reinicialização com falha.
“Mesmo se o servidor for reinicializado manualmente (por exemplo, por um administrador desavisado), o script não tem um mecanismo para retomar a execução após a reinicialização, o que significa que o ataque pode ser interrompido ou interrompido”, disse Martin Zugec, diretor de soluções técnicas da Bitdefender.
O ransomware é programado para gerar uma senha aleatória com base em dados específicos do sistema, incluindo tráfego de rede, memória do sistema e atividade do disco, usando essa senha para criptografar as unidades do sistema.
Essa senha exclusiva é então enviada para um servidor sob o controle do invasor. Após a reinicialização, o usuário é solicitado a digitar a senha para desbloquear a unidade criptografada, com a tela do BitLocker exibindo o e-mail de contato do invasor para facilitar o pagamento da senha.
Além disso, o script aplica várias modificações no Registro para limitar o acesso ao sistema, desabilitando conexões RDP remotas e bloqueando logins locais baseados em senha. Como parte da limpeza, ele também desabilita as regras do Firewall do Windows e exclui arquivos de auditoria.
O Bitdefender também destacou que o nome ShrinkLocker é enganoso, pois o recurso “encolher” é amplamente restrito a sistemas Windows legados e não reduz realmente o tamanho das partições em sistemas operacionais atuais.
“Usando uma combinação de Objetos de Política de Grupo (GPOs) e tarefas agendadas, o ransomware pode criptografar vários dispositivos em uma rede em apenas 10 minutos por máquina“, observou Zugec. “Consequentemente, requer esforço mínimo para atingir o comprometimento completo do domínio.”
“O monitoramento proativo de logs de eventos específicos do Windows permite que as organizações detectem e mitiguem potenciais ataques do BitLocker em seus estágios iniciais, como quando os invasores testam recursos de criptografia.”
“Ao configurar o BitLocker para armazenar informações de recuperação no Active Directory Domain Services (AD DS) e impor a política ‘Não habilite o BitLocker até que as informações de recuperação sejam armazenadas no AD DS para unidades do sistema operacional’, as organizações podem reduzir significativamente o risco de ataques que aproveitam o BitLocker.”
Fonte: TheHackerNews
