[29/05/2024] Kaspersky ha identificado ataques de ransomware que utilizan BitLocker de Microsoft para intentar cifrar archivos corporativos. Según lo señalado en el comunicado de prensa, los actores de amenazas eliminan las opciones de recuperación para evitar que se restauren los archivos y utilizan un script malicioso con una nueva característica: puede detectar versiones específicas de Windows y habilitar el BitLocker de acuerdo con la versión de Windows. Los incidentes con este ransomware, denominado "ShrinkLocker", y sus variantes se observaron en México, Indonesia y Jordania. Los perpetradores tenían como objetivo empresas de fabricación de acero y vacunas, así como una entidad gubernamental.
"Los actores de amenazas están usando VBScript -un lenguaje de programación utilizado para automatizar tareas en computadoras Windows- para crear un script malicioso con características no notificadas previamente para maximizar los daños del ataque”, señaló Cristian Souza, especialista en Respuesta a Incidentes de Equipo global de respuesta a emergencias de Kaspersky. "La novedad es que el script comprueba la corriente versión de Windows instalada en el sistema y habilita las características de BitLocker en consecuencia. De esta manera, se cree en el guión para poder infectar sistemas nuevos y heredados de nuevo a Windows Server 2008#.
El ejecutivo agregó que, en caso de que la versión del sistema operativo sea adecuada para el ataque, el altera la configuración de arranque e intenta cifrar todas las unidades usando BitLocker. "Establece una nueva partición de arranque, esencialmente configurando una sección separada en la unidad de la computadora que contiene los archivos para arrancar el sistema operativo. Esta acción tiene como objetivo bloquear a la víctima en un momento posterior. Los atacantes también eliminan el archivo que se usa para proteger la clave de cifrado de BitLocker para que la víctima no pueda recuperarlos”.
A continuación, explicó Souza, el script malicioso envía información sobre el sistema y la clave de cifrado generada en el equipo comprometido al servidor controlado por el actor de amenazas. Después, cubre sus huellas eliminando registros y varios archivos que sirven como pista y ayudan a investigar un ataque.
"Como paso final, el malware fuerza el apagado del sistema, una capacidad facilitada por la creación y reinstalación de archivos en una partición de arranque separada. La víctima ve la pantalla de BitLocker con el mensaje: 'No hay más opciones de recuperación de BitLocker en su PC'”, sostuvo el ejecutivo.
Kaspersky bautizó el script como ShrinkLocker, ya que este nombre destaca el procedimiento crítico de redimensionamiento de la partición, esencial para que el atacante se asegurara de que el sistema arrancaba correctamente con los archivos cifrados.
"Lo que es particularmente preocupante en este caso es que BitLocker, diseñado originalmente para mitigar los riesgos de robo o exposición de datos, ha sido reutilizado por los adversarios con fines maliciosos. Es una cruel ironía que una medida de seguridad se haya convertido en un arma de esta manera. Para las empresas que utilizan BitLocker, es crucial garantizar contraseñas seguras y un almacenamiento seguro de las claves de recuperación. Las copias de seguridad periódicas, sin conexión y comprobadas, también son salvaguardas esenciales”, explicó Souza.
Franca Cavassa, CTOPerú