Uma nova variante de ransomware chamada ShrinkLocker cria uma nova partição de boot para criptografar sistemas corporativos usando o Windows BitLocker.
O ShrinkLocker, assim nomeado porque cria o volume de boot ao reduzir partições não-boot disponíveis, foi utilizado para mirar em uma entidade governamental e empresas nos setores de vacinas e manufatura.
O uso de BitLocker por ransomwares para criptografar computadores não é novidade.
Um ator de ameaça usou esse recurso de segurança no Windows para criptografar 100TB de dados em 40 servidores em um hospital na Bélgica.
Outro atacante o utilizou para criptografar sistemas de um produtor e distribuidor de carnes com sede em Moscou.
Em setembro de 2022, a Microsoft alertou que um atacante patrocinado pelo estado iraniano utilizou o BitLocker para criptografar sistemas rodando Windows 10, Windows 11 ou Windows Server 2016 e mais recentes.
No entanto, a Kaspersky diz que o ShrinkLocker vem "com características não relatadas anteriormente para maximizar o dano do ataque."
O ShrinkLocker é escrito em Visual Basic Scripting (VBScript), uma linguagem introduzida pela Microsoft em 1996 e que agora está em um caminho de descontinuação - disponível como um recurso sob demanda a partir do Windows 11, versão 24H2 (atualmente em estágio de prévia de lançamento).
Uma de suas capacidades é detectar a versão específica do Windows rodando na máquina alvo, usando a Windows Management Instrumentation (WMI) com a classe Win32_OperatingSystem.
O ataque continua apenas se parâmetros específicos forem atendidos, como o domínio atual coincidindo com o alvo e uma versão do sistema operacional (OS) mais nova que o Vista.
Caso contrário, o ShrinkLocker termina automaticamente e se deleta.
Se o alvo corresponder aos requisitos para o ataque, o malware usa a utilidade diskpart no Windows para reduzir cada partição não-boot em 100MB e divide o espaço não alocado em novos volumes primários do mesmo tamanho.
Pesquisadores da Kaspersky dizem que no Windows 2008 e 2012, o ransomware ShrinkLocker primeiro salvou os arquivos de boot junto com o índice dos outros volumes.
As mesmas operações de redimensionamento são realizadas em outras versões do Windows OS, mas com um código diferente, conforme os pesquisadores explicam em sua análise técnica.
O malware então utiliza a ferramenta de linha de comando BCDEdit para reinstalar os arquivos de boot nas partições recém-criadas.
O ShrinkLocker também modifica entradas de registro para desabilitar conexões de desktop remoto ou habilitar a criptografia BitLocker em hosts sem um Trusted Platform Module (TPM) - um chip dedicado que fornece funções relacionadas à segurança baseadas em hardware.
Por meio de análise dinâmica de malware, pesquisadores da Kaspersky conseguiram confirmar as seguintes mudanças de registro feitas pelo malware:
- fDenyTSConnections = 1: desabilita conexões RDP
- scforceoption = 1: impõe autenticação por smart card
- UseAdvancedStartup = 1: exige o uso do PIN do BitLocker para autenticação pré-boot
- EnableBDEWithNoTPM = 1: permite o BitLocker sem um chip TPM compatível
- UseTPM = 2: permite o uso do TPM se disponível
- UseTPMPIN = 2: permite o uso de um PIN de inicialização com o TPM, se disponível
- UseTPMKey = 2: permite o uso de uma chave de inicialização com o TPM, se disponível
- UseTPMKeyPIN = 2: permite o uso de uma chave de inicialização e PIN com o TPM, se disponível
- EnableNonTPM = 1: permite o BitLocker sem um chip TPM compatível, requer uma senha ou chave de inicialização em um pendrive USB
- UsePartialEncryptionKey = 2: exige o uso de uma chave de inicialização com o TPM
- UsePIN = 2: exige o uso de um PIN de inicialização com o TPM
O ator de ameaça por trás do ShrinkLocker não deixa um arquivo de resgate para estabelecer um canal de comunicação com a vítima.
Em vez disso, eles fornecem um endereço de email (onboardingbinder[at]proton[dot]me, conspiracyid9[at]protonmail[dot]com) como o rótulo das novas partições de boot.
No entanto, este rótulo não será visto pelos administradores a menos que eles iniciem o dispositivo usando um ambiente de recuperação ou por meio de outras ferramentas de diagnóstico, tornando-o relativamente fácil de perder.
Após criptografar os drives, o ator da ameaça deleta os protetores do BitLocker (ex.: TPM, PIN, chave de inicialização, senha, senha de recuperação, chave de recuperação) para negar à vítima qualquer opção de recuperar a chave de criptografia do BitLocker, que é enviada ao atacante.
A chave gerada para criptografar arquivos é uma combinação de 64 caracteres de multiplicação aleatória e substituição de uma variável com números de 0-9, caracteres especiais e a frase holoalfabética "The quick brown fox jumps over the lazy dog."
A chave é entregue por meio da ferramenta TryCloudflare, um serviço legítimo para desenvolvedores experimentarem o Túnel do CloudFlare sem adicionar um site ao DNS do CloudFlare.
Na etapa final do ataque, o ShrinkLocker força o sistema a desligar para que todas as mudanças tenham efeito e deixa o usuário com os drives bloqueados e sem opções de recuperação do BitLocker.
O BitLocker permite criar uma mensagem personalizada nas telas de recuperação, o que teria sido o lugar perfeito para exibir uma mensagem de extorsão às vítimas.
A falta de um bilhete de resgate facilmente visível e um email simplesmente deixado como rótulo de unidade pode indicar que esses ataques têm mais uma natureza destrutiva do que visam ganho financeiro.
A Kaspersky descobriu que o ShrinkLocker tem múltiplas variantes e foi usado contra uma entidade governamental, bem como organizações nas indústrias de aço e fabricação de vacinas no México, Indonésia e Jordânia.
Cristian Souza, especialista em resposta a incidentes no Kaspersky Global Emergency Response Team, diz que as empresas que usam o BitLocker em seus sistemas devem garantir o armazenamento seguro das chaves de recuperação e manter backups regulares que são salvos offline e testados.
Adicionalmente, recomenda-se que as organizações usem uma solução EPP (Endpoint Protection Platforms) configurada adequadamente para detectar tentativas de abuso do BitLocker, habilitar privilégios mínimos para usuários, habilitar o registro e o monitoramento do tráfego de rede (tanto para requisições GET quanto POST), rastrear eventos relacionados à execução de VBS e PowerShell e registrar scripts associados.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...