Bitdefender lança NOVA ferramenta
14 de Novembro de 2024

A Bitdefender lançou um decryptor para a cepa de ransomware 'ShrinkLocker', que utiliza a ferramenta de criptografia de disco incorporada ao Windows, o BitLocker, para bloquear os arquivos das vítimas.

Descoberto em maio de 2024 pelos pesquisadores da empresa de cibersegurança Kaspersky, o ShrinkLocker não possui a sofisticação de outras famílias de ransomware, mas integra recursos que podem maximizar os danos de um ataque.

De acordo com a análise da Bitdefender, o malware parece ter sido reaproveitado de um código benigno de dez anos atrás, utilizando VBScript e emprega técnicas geralmente consideradas obsoletas.

Os pesquisadores observam que os operadores do ShrinkLocker parecem ser de baixa habilidade, utilizando código redundante e erros de digitação, deixando para trás logs de reconhecimento em forma de arquivos de texto e dependendo de ferramentas facilmente disponíveis.

No entanto, o ator de ameaça teve ataques bem-sucedidos contra alvos corporativos.

Em um relatório hoje, a Bitdefender destaca um ataque do ShrinkLocker contra uma organização de saúde onde os atacantes criptografaram dispositivos Windows 10, Windows 11 e Windows Server em toda a rede, incluindo backups.

O processo de criptografia terminou em 2,5 horas e a organização perdeu o acesso a sistemas críticos, enfrentando potencialmente dificuldades no atendimento aos pacientes.

A Bitdefender está lançando uma ferramenta de decodificação gratuita que pode ajudar as vítimas do ShrinkLocker a recuperar seus arquivos.

Em vez de usar implementações de criptografia personalizadas como o ransomware tradicional, o ShrinkLocker utiliza o BitLocker do Windows com uma senha gerada aleatoriamente que é enviada ao atacante.

O malware executa primeiro uma consulta de Windows Management Instrumentation (WMI) para verificar se o BitLocker está disponível no sistema alvo e instala a ferramenta, caso não esteja presente.

Em seguida, remove todas as proteções padrão que impedem que o disco seja criptografado por acidente.

Para velocidade, utiliza a flag '-UsedSpaceOnly' para fazer com que o BitLocker criptografe apenas o espaço ocupado no disco.

A senha aleatória é gerada usando dados de tráfego de rede e uso de memória, de modo que não existem padrões que facilitem o brute-forcing.

O script do ShrinkLocker também exclui e reconfigura todos os protetores do BitLocker, para tornar mais difícil a recuperação das chaves de criptografia.

"Os protetores são mecanismos usados pelo BitLocker para proteger a chave de criptografia.
Eles podem incluir protetores de hardware como TPMs ou protetores de software como senhas ou chaves de recuperação. Ao excluir todos os protetores, o script visa tornar impossível para a vítima recuperar seus dados ou descriptografar o disco", explica a Bitdefender.

Para propagação, o ShrinkLocker utiliza Objetos de Política de Grupo (GPOs) e tarefas agendadas, modifica as configurações de Política de Grupo nos controladores de domínio do Active Directory e cria tarefas para todas as máquinas unidas ao domínio para garantir a criptografia de todos os discos na rede comprometida.

Após o reinício, as vítimas veem uma tela de senha do BitLocker que também inclui os detalhes de contato do ator de ameaça.

A Bitdefender criou e lançou um decryptor que reverte a sequência na qual o ShrinkLocker exclui e reconfigura os protetores do BitLocker.

Os pesquisadores dizem que identificaram "uma janela de oportunidade específica para a recuperação de dados imediatamente após a remoção dos protetores de discos criptografados pelo BitLocker", o que permite descriptografar e recuperar a senha definida pelo atacante.

Isso torna possível reverter o processo de criptografia e retornar os discos ao seu estado anterior e não criptografado.

As vítimas do ShrinkLocker podem baixar a ferramenta e usá-la de um pendrive conectado aos sistemas impactados.

Quando a tela de recuperação do BitLocker for exibida, os usuários devem entrar no Modo de Recuperação do BitLocker e pular todas as etapas até chegar às opções avançadas, que fornece um prompt de comando que permite lançar a ferramenta de decodificação.

Os pesquisadores alertam que o tempo para descriptografar os dados depende do hardware do sistema e da complexidade da criptografia e pode levar algum tempo.

Quando concluído, o decodificador desbloqueará o disco e desativará a autenticação baseada em smart card.

A Bitdefender observa que o decryptor funciona apenas no Windows 10, Windows 11 e versões recentes do Windows Server e é mais eficaz quando usado logo após o ataque de ransomware, quando as configurações do BitLocker ainda não foram completamente substituídas e podem ser recuperadas.

Infelizmente, este método não funcionará para recuperar senhas do BitLocker criadas usando outros métodos.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...