A Bitdefender lançou um decryptor para a cepa de ransomware 'ShrinkLocker', que utiliza a ferramenta de criptografia de disco incorporada ao Windows, o BitLocker, para bloquear os arquivos das vítimas.
Descoberto em maio de 2024 pelos pesquisadores da empresa de cibersegurança Kaspersky, o ShrinkLocker não possui a sofisticação de outras famílias de ransomware, mas integra recursos que podem maximizar os danos de um ataque.
De acordo com a análise da Bitdefender, o malware parece ter sido reaproveitado de um código benigno de dez anos atrás, utilizando VBScript e emprega técnicas geralmente consideradas obsoletas.
Os pesquisadores observam que os operadores do ShrinkLocker parecem ser de baixa habilidade, utilizando código redundante e erros de digitação, deixando para trás logs de reconhecimento em forma de arquivos de texto e dependendo de ferramentas facilmente disponíveis.
No entanto, o ator de ameaça teve ataques bem-sucedidos contra alvos corporativos.
Em um relatório hoje, a Bitdefender destaca um ataque do ShrinkLocker contra uma organização de saúde onde os atacantes criptografaram dispositivos Windows 10, Windows 11 e Windows Server em toda a rede, incluindo backups.
O processo de criptografia terminou em 2,5 horas e a organização perdeu o acesso a sistemas críticos, enfrentando potencialmente dificuldades no atendimento aos pacientes.
A Bitdefender está lançando uma ferramenta de decodificação gratuita que pode ajudar as vítimas do ShrinkLocker a recuperar seus arquivos.
Em vez de usar implementações de criptografia personalizadas como o ransomware tradicional, o ShrinkLocker utiliza o BitLocker do Windows com uma senha gerada aleatoriamente que é enviada ao atacante.
O malware executa primeiro uma consulta de Windows Management Instrumentation (WMI) para verificar se o BitLocker está disponível no sistema alvo e instala a ferramenta, caso não esteja presente.
Em seguida, remove todas as proteções padrão que impedem que o disco seja criptografado por acidente.
Para velocidade, utiliza a flag '-UsedSpaceOnly' para fazer com que o BitLocker criptografe apenas o espaço ocupado no disco.
A senha aleatória é gerada usando dados de tráfego de rede e uso de memória, de modo que não existem padrões que facilitem o brute-forcing.
O script do ShrinkLocker também exclui e reconfigura todos os protetores do BitLocker, para tornar mais difícil a recuperação das chaves de criptografia.
"Os protetores são mecanismos usados pelo BitLocker para proteger a chave de criptografia.
Eles podem incluir protetores de hardware como TPMs ou protetores de software como senhas ou chaves de recuperação. Ao excluir todos os protetores, o script visa tornar impossível para a vítima recuperar seus dados ou descriptografar o disco", explica a Bitdefender.
Para propagação, o ShrinkLocker utiliza Objetos de Política de Grupo (GPOs) e tarefas agendadas, modifica as configurações de Política de Grupo nos controladores de domínio do Active Directory e cria tarefas para todas as máquinas unidas ao domínio para garantir a criptografia de todos os discos na rede comprometida.
Após o reinício, as vítimas veem uma tela de senha do BitLocker que também inclui os detalhes de contato do ator de ameaça.
A Bitdefender criou e lançou um decryptor que reverte a sequência na qual o ShrinkLocker exclui e reconfigura os protetores do BitLocker.
Os pesquisadores dizem que identificaram "uma janela de oportunidade específica para a recuperação de dados imediatamente após a remoção dos protetores de discos criptografados pelo BitLocker", o que permite descriptografar e recuperar a senha definida pelo atacante.
Isso torna possível reverter o processo de criptografia e retornar os discos ao seu estado anterior e não criptografado.
As vítimas do ShrinkLocker podem baixar a ferramenta e usá-la de um pendrive conectado aos sistemas impactados.
Quando a tela de recuperação do BitLocker for exibida, os usuários devem entrar no Modo de Recuperação do BitLocker e pular todas as etapas até chegar às opções avançadas, que fornece um prompt de comando que permite lançar a ferramenta de decodificação.
Os pesquisadores alertam que o tempo para descriptografar os dados depende do hardware do sistema e da complexidade da criptografia e pode levar algum tempo.
Quando concluído, o decodificador desbloqueará o disco e desativará a autenticação baseada em smart card.
A Bitdefender observa que o decryptor funciona apenas no Windows 10, Windows 11 e versões recentes do Windows Server e é mais eficaz quando usado logo após o ataque de ransomware, quando as configurações do BitLocker ainda não foram completamente substituídas e podem ser recuperadas.
Infelizmente, este método não funcionará para recuperar senhas do BitLocker criadas usando outros métodos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...