Ransomware ShrinkLocker
.jfif?v=1736753786)
Los expertos de Kaspersky descubrieron un nuevo ransomware al que denominaron "ShrinkLocker".[1] Éste es un ransomware que aprovecha la funcionalidad de seguridad BitLocker de Microsoft para cifrar archivos corporativos.[1]
Lo que hace este ransomware, cifra las unidades locales de la víctima para bloquear el acceso a sus contenidos. Básicamente, lo que hace es activar una característica de seguridad estándar: BitLocker.[1]
Reduce las particiones de la unidad de la computadora en 100 megabytes de ahí su nombre “ShrinkLocker”, utiliza el espacio liberado para crear una partición de arranque, desactiva todos los mecanismos de recuperación de claves de BitLocker y envía la clave que se utilizó para el cifrado de las unidades al servidor del atacante.[2]
Para cambiar el tamaño de las unidades locales en Windows Server 2008 o 2012, el script verifica la partición de inicio primaria y guarda esta información. Guarda el índice de las diferentes particiones y luego realiza las siguientes acciones usando diskpart:[3]
- Divide el espacio no asignado en nuevas particiones primarias de 100 MB.
- Formatea las particiones con la opción de anulación, que obliga al volumen a desmontarse primero si es necesario y asigna un sistema de archivos y una letra de unidad a cada una.
- Activa las particiones.
- Si el procedimiento de reducción fue exitoso, guarda "ok" como variable para que el script pueda continuar.
Después de que el usuario reinicia la computadora, se le presenta la solicitud de contraseña estándar de BitLocker. Dado que el usuario ahora no puede iniciar el sistema, ShrinkLocker cambia las etiquetas de las unidades del sistema a la dirección de correo electrónico del atacante en lugar de dejar una nota de rescate.[2]
Pantalla de recuperación BitLocker [3]
En ese incidente, los atacantes pudieron implementar y ejecutar un script VBS avanzado que aprovechó BitLocker para cifrar archivos no autorizados. Se descubrimos este script y sus versiones modificadas en México, Indonesia y Jordania.[3]
La funcion principal del script es utilizar el Instrumental de administración de Windows (WMI) para consultar información del sistema operativo con la ayuda de la clase Win32_OperatingSystem. El script verifica si el dominio actual es diferente del objetivo. Si es así, el script finaliza automáticamente. Después de eso, verifica si el nombre del sistema operativo contiene “xp”, “2000”, “2003” o “vista”, si la versión de Windows coincide con alguno de estos, el script finaliza automáticamente y se elimina.[3]
Condiciones iniciales de ejecución. [3
TAXONOMÍA DE ATAQUE MITRE ATT&CK
| Tactica | Tecnica | ID |
| Execution | Command and Scripting Interpreter: Visual Basic | T1059.005 |
| Execution | Windows Management Instrumentation | T1047 |
| Execution | Command and Scripting Interpreter: PowerShell | T1059.001 |
| Impact | Data Encrypted for Impact | T1486 |
| Impact | System Shutdown/Reboot | T1529 |
| Defense evasion | Clear Windows Event Logs | T1070.001 |
| Defense evasion | Modify Registry | T1112 |
| Defense Evasion | Disable or Modify System Firewall | T1562.004 |
| Exfiltration | Exfiltration Over Web Service | T1041 |
Mitigaciones [3]
- Utilice una solución EPP sólida y correctamente configurada para detectar amenazas que intentan abusar de BitLocker.
- Implementar Detección y Respuesta Administradas (MDR) para escanear proactivamente en busca de amenazas.
- Si BitLocker está habilitado, asegúrese de utilizar una contraseña segura y de tener las claves de recuperación almacenadas en una ubicación segura.
- Asegúrese de que los usuarios tengan solo privilegios mínimos. De esta manera, no pueden habilitar funciones de cifrado ni cambiar las claves de registro por sí solos.
- Habilite el registro y monitoreo del tráfico de red. Configure el registro de solicitudes GET y POST. En caso de infección, las solicitudes realizadas al dominio del atacante pueden contener contraseñas o claves.
- Supervise los eventos asociados con la ejecución de VBS y PowerShell, y guarde los scripts y comandos registrados en un repositorio externo que almacene la actividad que puede eliminarse localmente.
- Realice copias de seguridad con frecuencia, guárdelas sin conexión y pruébelas.
Indicadores de compromiso:
- hxxps://scottish-agreement-laundry-further[dot]trycloudflare[dot]com/updatelog
- hxxps://generated-eating-meals-top[dot]trycloudflare.com/updatelog
- hxxps://generated-eating- comidas-top[punto]trycloudflare.com/updatelogead
- hxxps://earthquake-js-westminster-searched[punto]trycloudflare.com:443/updatelog
- onboardingbinder[arroba]proton[punto]me
- conspiracyid9[arroba]protonmail[punto]com
- 842f7b1c425c5cf41aed9df63888e768
Referencias
- de Frutos Sastre, A. (2024, junio 17). ShrinkLocker, así es el peligroso ransomware que bloquea archivos corporativos. Ediciones EL PAÍS S.L. https://cincodias.elpais.com/smartlife/lifestyle/2024-06-17/shrinklocker-asi-es-el-peligroso-ransomware-que-bloquea-archivos-corporativos.html
- Titterington, A. (2024, junio 13). ShrinkLocker ransomware employing BitLocker for encryption. Kaspersky. https://www.kaspersky.com/blog/shrinklocker-ransomware-encrypts-with-bitlocker/51462/
- Souza, C. (2024, mayo 23). ShrinkLocker: Turning BitLocker into ransomware. Kaspersky. https://securelist.com/ransomware-abuses-bitlocker/112643/
