La conocida multinacional rusa de seguridad informática, Kaspersky Lab, ha informado de la existencia de un nuevo ramsomware que aprovecha el BitLocker para perpetrar su ataque, este se conoce como ShrinkLocker. Según indica esta compañía, este ataque emplea el propio BitLocker de Microsoft para intentar cifrar archivos corporativos. Este ataque también elimina las opciones de recuperación para impedir que se restauren los archivos. Para conseguir su propósito, se emplea un script malicioso que puede detectar versiones específicas de Windows y activar el BitLocker en consecuencia.
Los afectados de este nuevo ransomware ShrinkLocker fueron empresas de fabricación de acero y vacunas, así como una entidad gubernamental. Se indica también que estos primeros ataques de este ransomware ocurrieron en México, Indonesia y Jordania. Como breve contexto, el BitLocker es un software de cifrado de almacenamiento que incluye los propios sistemas operativos de Windows.
ShrinkLocker utiliza el lenguaje de programación VBScript
El equipo de Respuesta de Emergencia Global de Kaspersky, indicó que los actores protagonistas detrás de ShrinkLocker hacen uso del lenguaje de programación VBScript. Este permite automatizar tareas en ordenadores basados en el sistema operativo Windows. Con este lenguaje crean un script malicioso con características no reportadas previamente para maximizar el alcance de daños.
La principal novedad de este tipo de ataques es que es capaz de comprobar la versión del sistema operativo Windows del ordenador que está atacando. De este modo, se cree que el script es capaz de infectar sistemas nuevos y heredados hasta Windows Server 2008. Tras detectar el sistema operativo del equipo, y si adecuado para el ataque, el script altera la configuración de arranque e intenta cifrar todas las unidades de almacenamiento utilizando BitLocker.
Tras ello, crea una nueva partición de arranque separada del sistema con el objetivo bloquear a la víctima en una fase posterior. Los atacantes también borran los protectores utilizados para asegurar la clave de cifrado de BitLocker para que la víctima no pueda recuperarlos. En definitiva, si tu equipo queda infectado con el ShrinkLocker, tocará formatear el sistema.
A continuación, el script malicioso envía información sobre el sistema y la clave de cifrado generada en el ordenador comprometido al servidor controlado por el actor de la amenaza. Después, cubre sus huellas borrando los registros y varios archivos que podrían ayudar a investigar un ataque.
Como paso final, el malware fuerza el apagado del sistema, una capacidad facilitada por la creación y reinstalación de archivos en una partición de arranque separada. La víctima ve la pantalla de BitLocker con el mensaje: "No hay más opciones de recuperación de BitLocker en su PC".
Este ransomware está diseñado para hacer perder toda la información, no para pedir un rescate
Hasta ahora, los ramsonwares encargados de "secuestrar" toda la información de nuestro equipo tenía un único motivo: pedir un rescate. En este caso, con ShrinkLocker no es así. Pues básicamente no se pide ningún rescate, forzando así al formateo del equipo para poder seguir usándolo. Evidentemente, para evitar estos casos, siempre es recomendable tener un sistema operativo moderno con todas las actualización de seguridad pertinentes. Usar software de seguridad para un entorno profesional, y evitar el software pirata.
Otras opciones más avanzadas pasa por limitar los privilegios de los usuarios, o activar el registro y la supervisión del tráfico de red, capturando las solicitudes GET y POST. También se recomienda la realización de copias de seguridad de forma regular.
"Lo que es particularmente preocupante en este caso es que BitLocker, diseñado originalmente para mitigar los riesgos de robo o exposición de datos, ha sido reutilizado por los adversarios con fines maliciosos", dijo Cristian Souza, especialista en respuesta a incidentes de Kaspersky Global Emergency Response Team.
"Es una cruel ironía que una medida de seguridad se haya convertido en un arma de esta manera. Para las empresas que utilizan BitLocker, es crucial garantizar contraseñas seguras y un almacenamiento seguro de las claves de recuperación. Las copias de seguridad periódicas, sin conexión y comprobadas, también son salvaguardas esenciales".