Os especialistas em segurança cibernética da Kaspersky identificaram uma nova variedade de ransomware chamada ShrinkLocker, que usa o Microsoft BitLocker para criptografar arquivos corporativos e extorquir pagamentos de organizações vítimas. O malware foi detectado no México, na Indonésia e na Jordânia, afetando fabricantes de aço e vacinas e uma entidade governamental.
Mecanismos Técnicos e Detecção
O ShrinkLocker emprega VBScript para interagir com o Windows Management Instrumentation, adaptando seu ataque para várias versões de sistemas operacionais Microsoft, incluindo o Windows Server 2008. O malware realiza redimensionamento de disco em unidades fixas, modifica o particionamento e a configuração de inicialização, ativa o BitLocker e criptografa o armazenamento do computador. O relatório da Kaspersky descreve etapas detalhadas para detectar e bloquear variantes do ShrinkLocker.
Ataque Processo e impacto
Ao obter a execução do código na máquina da vítima, o ShrinkLocker é implantado. Ele altera os rótulos das partições do e-mail dos extorsionários, facilitando o contato com as vítimas. A chave de descriptografia é enviada a um servidor controlado pelos invasores, após o qual o ShrinkLocker exclui a chave localmente, apagando as opções de recuperação e os logs do sistema. O sistema comprometido é então desligado, exibindo uma tela do BitLocker informando: “Não há mais opções de recuperação do BitLocker no seu PC“.
Metodologia de ataque detalhada
O ShrinkLocker aproveita funções exportadas da DLL de criptografia ADVAPI32.dll , como CryptAcquireContextA, CryptEncrypt e CryptDecrypt, para garantir compatibilidade entre várias versões de sistema operacional. O malware armazena seu VBScript em C:\ProgramData\Microsoft\Windows\Templates\ como Disk.vbs, que inclui uma função para converter strings em binários usando um Objeto ADODB.Stream. O script verifica o nome do sistema operacional para “xp”, “2000″, “2003″ ou “vista” e finaliza se algum deles for detectado.
O script executa operações de redimensionamento de disco especificamente em unidades fixas (DriveType=3) e evita unidades de rede para evitar detecção. Para Windows Server 2008 ou 2012, o script usa diskpart para reduzir partições que não são de inicialização em 100 MB, criar novas partições primárias, formate-os e reinstale os arquivos de inicialização. O malware modifica entradas de registro para desativar conexões RDP, impor autenticação de cartão inteligente e definir configurações do BitLocker sem um chip TPM compatível.
Criptografia e comunicação
ShrinkLocker gera uma chave de criptografia de 64 caracteres usando uma combinação aleatória de números, letras e caracteres especiais, que é então convertida em uma string segura para o BitLocker. O malware envia uma solicitação HTTP POST contendo informações da máquina e a senha gerada para o servidor do invasor, usando o domínio trycloudflare.com para ofuscação. O script limpa os logs do Windows PowerShell e do Microsoft-Windows-PowerShell/Operacional, ativa o firewall do sistema e exclui todas as regras de firewall.
Medidas preventivas
A Kaspersky aconselha as organizações a limitar os privilégios dos usuários para evitar a ativação de recursos de criptografia ou a modificação de chaves de registro. Para quem usa o BitLocker, é crucial usar senhas fortes e armazenar com segurança as chaves de recuperação. Também é recomendado monitorar eventos de execução de VBScript e PowerShell, registrar atividades críticas do sistema em um repositório externo e fazer backup frequente de sistemas e arquivos off-line. Testar backups garante que eles possam ser recuperados no caso de um ataque de ransomware ou outros incidentes de segurança.