Una variante de Ransomware conocida como «ShrinkLocker«, está escrito en Visual Basic Scripting (VBScript) y crea una partición de arranque adicional para cifrar los sistemas corporativos utilizando Windows BitLocker.

«ShrinkLocker» recibe su nombre porque genera el volumen de arranque al reducir las particiones disponibles que no son de arranque. Este ha sido empleado para atacar a entidades gubernamentales y empresas de los sectores de vacunas y fabricación en México, Indonesia y Jordania. Además, según Kaspersky el mismo ‘incluye características no reportadas previamente para maximizar el daño del ataque’.

El uso de BitLocker por parte del Ransomware, no es una táctica novedosa. Un actor malicioso usó esta función para cifrar 100TB de datos en 40 servidores de un hospital en Bélgica. En septiembre de 2022, Microsoft advirtió que un atacante utilizó BitLocker para cifrar sistemas que ejecutaban Windows 10 y Windows 11.

Una de las capacidades de ShrinkLocker es detectar la versión específica de Windows que se ejecuta en el equipo objetivo mediante el Instrumental de administración de Windows (WMI) con la clase Win32_OperatingSystem.

Si el objetivo cumple con los requisitos del ataque, el malware emplea la utilidad diskpart de Windows para reducir cada partición que no sea de arranque en 100MB y divide el espacio no asignado en nuevos volúmenes primarios del mismo tamaño (caso contrario, se detiene y se elimina a sí mismo).

«ShrinkLocker» modifica las entradas del Registro para deshabilitar las conexiones de escritorio remoto y habilitar el cifrado de BitLocker en sistemas sin un módulo de plataforma segura (TPM), un chip que proporciona funciones de seguridad basadas en hardware.

Investigadores de Kaspersky confirmaron mediante un análisis dinámico, que «ShrinkLocker» realiza los siguientes cambios en el registro:

  • fDenyTSConnections = 1: Deshabilita las conexiones RDP
  • scforceoption = 1: Aplica la autenticación con tarjeta inteligente
  • UseAdvancedStartup = 1: Requiere el uso del PIN de BitLocker para la autenticación previa al arranque
  • EnableBDEWithNoTPM = 1: Permite BitLocker sin un chip TPM compatible
  • UseTPM = 2: Permite el uso de TPM si está disponible
  • UseTPMPIN = 2: Permite el uso de un PIN de inicio con TPM si está disponible
  • UseTPMKey = 2: Permite el uso de una clave de inicio con TPM si está disponible
  • UseTPMKeyPIN = 2: Permite el uso de una clave de inicio y un PIN con TPM si está disponible
  • EnableNonTPM = 1: Permite BitLocker sin un chip TPM compatible, requiriendo una clave de inicio en una unidad flash USB
  • UsePartialEncryptionKey = 2: Requiere el uso de una clave de inicio con TPM
  • UsePIN = 2: Requiere el uso de un PIN de inicio con TPM

ShrinkLocker proporciona una dirección de correo electrónico de contacto (onboardingbinder[at]proton[.]me, conspiracyid9[at]protonmail[.]com) como etiqueta de las nuevas particiones de arranque.

Sin embargo, los administradores no verán esta etiqueta a menos que inicien el dispositivo en un entorno de recuperación (lo cual sugiere que estos ataques podrían tener propósitos destructivos y no financieros). Después de cifrar las unidades, el atacante elimina los protectores de BitLocker (TPM, PIN, clave de inicio y clave de recuperación) para evitar que la víctima recupere la clave de cifrado de BitLocker.

La clave generada para cifrar archivos es una combinación de 64 caracteres, creada mediante la multiplicación aleatoria y el reemplazo de una variable con números del 0 al 9, caracteres especiales y el pangrama «The quick brown fox jumps over the lazy dog«.

La clave se transmite utilizando TryCloudflare, un servicio que permite a los desarrolladores experimentar con el túnel de Cloudflare sin agregar un sitio al DNS. En la fase final del ataque, «ShrinkLocker» obliga al sistema a apagarse para que todos los cambios surtan efecto, dejando al usuario con las unidades bloqueadas y sin opciones de recuperación de BitLocker.

Fuente:

How ransomware abuses BitLocker | Securelist