Los expertos de Kaspersky han identificado ataques de un ransomware, denominado ‘ShrinkLocker’, que utiliza BitLocker de Microsoft para intentar cifrar archivos corporativos. Los ciberatacantes eliminan las opciones de recuperación para evitar que los archivos sean restaurados y usan un script malicioso con una nueva característica: puede detectar versiones específicas de Windows y habilitar BitLocker según la versión de Windows. Los autores apuntaron a empresas de fabricación de acero y vacunas, así como a una entidad gubernamental.
Los ciberatacantes están utilizando VBScript, un lenguaje de programación utilizado para automatizar tareas en ordenadores con Windows, para crear un script malicioso con características no reportadas anteriormente para maximizar el daño del ataque, informa el equipo de Kaspersky Global Emergency Response. La novedad es que el script verifica la versión actual de Windows instalada en el sistema y habilita las funciones de BitLocker en consecuencia. De esta manera, se cree que el script puede infectar sistemas nuevos y heredados hasta Windows Server 2008.
En caso de que la versión del sistema operativo sea adecuada para el ataque, el script altera la configuración de arranque e intenta cifrar los discos completos utilizando BitLocker. Establece una nueva partición de arranque, configurando esencialmente una sección separada en la unidad del ordenador que contiene los archivos para arrancar el sistema operativo.
Esta acción tiene como objetivo bloquear al usuario en una etapa posterior. Los atacantes también eliminaron los protectores utilizados para asegurar la clave de cifrado de BitLocker, de modo que la víctima no pueda recuperarlos.
A continuación, el script malicioso envía información sobre el sistema y la clave de cifrado generada en el ordenador comprometido al servidor controlado por el actor malicioso. Posteriormente, cubre sus huellas borrando los registros y varios archivos que sirven como indicios y ayudan a investigar un ataque.
Como paso final, el malware fuerza el apagado del sistema, una capacidad facilitada por la creación y reinstalación de archivos en una partición de arranque separada. La víctima ve la pantalla de BitLocker con el mensaje: “No hay más opciones de recuperación de BitLocker en tu PC”
Kaspersky denominó el script como ‘ShrinkLocker’, ya que este nombre resalta el procedimiento crítico de redimensionamiento de particiones, esencial para que el atacante se asegurara de que el sistema arrancaba correctamente con los archivos cifrados.
“Lo más preocupante de este caso es que BitLocker, diseñado originalmente para mitigar los riesgos de robo o exposición de datos, ha sido reutilizado por adversarios con fines maliciosos. Es una cruel ironía que una medida de seguridad haya sido convertida en un arma de esta manera. Para las empresas que utilizan BitLocker, es crucial garantizar contraseñas seguras y un almacenamiento seguro de las claves de recuperación. Las copias de seguridad periódicas, sin conexión y comprobadas, también son salvaguardas esenciales”, explica Cristian Souza, especialista del equipo Kaspersky Global Emergency Response.
Los expertos de Kaspersky recomiendan las siguientes medidas de mitigación:
- Utiliza un software de seguridad robusto y configurado configurado correctamente para detectar amenazas que intenten abusar de BitLocker. Implementa Managed Detection and Response (MDR) para buscar amenazas proactivamente.
- Limita los privilegios de los usuarios para evitar la habilitación no autorizada de funciones de cifrado o la modificación de claves del registro.
- Activa el registro y la monitorización del tráfico de red, capturando tanto solicitudes GET como POST, ya que los sistemas infectados pueden transmitir contraseñas o claves a dominios de los atacantes.
- Supervisa eventos de ejecución de VBScript y PowerShell, guardando scripts y comandos registrados en un repositorio externo para retención de actividad a pesar del borrado local.
El análisis técnico detallado del incidente está disponible en Securelist.