ShrinkLocker: ransomware que destruye datos en vez de extorsionar

La famosa empresa multinacional rusa de ciberseguridad,
Kaspersky Lab, ha reportado la presencia de un nuevo malware que aprovecha el BitLocker
para llevar a cabo su ataque, este se identifica como
ShrinkLocker. Según menciona esta organización, esta
ofensiva utiliza el propio BitLocker de Microsoft para
intentar encriptar archivos corporativos
. Además, este ataque también
elimina las opciones de recuperación con el objetivo de evitar
la restauración de los archivos. Para lograr su propósito, se
utiliza un script maligno que puede detectar versiones
específicas de Windows
y activar el BitLocker en
consecuencia.

Las compañías afectadas por este nuevo ransomware ShrinkLocker fueron
empresas fabricantes de acero y medicamentos, junto con una
entidad gubernamental
. También se menciona que estos
primeros ataques de este ransomware ocurrieron en México, Indonesia
y Jordania. A modo de contextualización breve, el BitLocker es un software
de cifrado de almacenamiento presente en los
sistemas operativos de Windows.

ShrinkLocker aprovecha el lenguaje de programación VBScript

pantalla recuperación BitLocker con script ShrinkLocker

El grupo de Respuesta de Emergencia Global de
Kaspersky
, indicó que los actores principales detrás de
ShrinkLocker hacen uso del lenguaje de programación
VBScript. Esto les permite automatizar tareas en
computadoras con sistema operativo Windows. Mediante este
lenguaje, crean un script dañino con características no
previamente informadas para maximizar el impacto de daños.

La novedad principal de este tipo de ataques es su capacidad para
verificar la versión del sistema operativo Windows
del equipo atacado. De esta forma, se cree que el
script es capaz de infectar sistemas nuevos y heredados hasta
Windows Server 2008. Tras identificar el sistema operativo del equipo,
y si es adecuado para el ataque, el script modifica la configuración de
arranque e intenta encriptar todas las unidades de
almacenamiento usando BitLocker.

Posteriormente, establece una nueva partición de arranque
separada del sistema con el fin de bloquear a la
víctima en una etapa posterior. Los atacantes también eliminan los
mecanismos de protección utilizados para asegurar la clave de encriptación

de BitLocker para impedir que la víctima los recupere. En
resumen, si tu equipo se ve afectado por el ShrinkLocker,
será necesario reiniciar el sistema.

A continuación, el script dañino envía información sobre el
sistema y la clave de encriptación generada en la computadora comprometida
al servidor controlado por el autor de la amenaza. Luego, elimina
las evidencias borrando los registros y varios archivos que podrían
ayudar a investigar un ataque.

Como último paso, el malware forza el apagado del sistema, una
acción facilitada por la creación y reinstalación de archivos en
una partición de arranque separada. La víctima visualiza la pantalla de
BitLocker con el mensaje: «No hay más opciones de recuperación de
BitLocker en su PC».

Este ransomware tiene como objetivo eliminar toda la
información, no exigir un rescate

ShrinkLocker ransomware encriptar información con BitLockerShrinkLocker ransomware encriptar información con BitLocker

Hasta ahora, los malwares encargados de «secuestrar»
toda la información de nuestro equipo tenían un único objetivo:
exigir un rescate. Sin embargo, con ShrinkLocker
esto no aplica. Ya que básicamente no se solicita ningún rescate,
forzando así a formatear el equipo para poder
seguir utilizándolo. Por supuesto, para prevenir estos casos, siempre es
recomendable contar con un sistema operativo actualizado con todas las
actualizaciones de seguridad relevantes. Emplear software de seguridad
para entornos profesionales, y evitar el software ilegal.

Otras opciones más avanzadas incluyen restringir los
privilegios de los usuarios
, o activar el registro y la
monitorización del tráfico de red, capturando las solicitudes GET y
POST. También se recomienda realizar copias de seguridad
de forma regular.

«Lo que es especialmente preocupante en este caso es que
BitLocker, diseñado originalmente para mitigar los riesgos de robo
o exposición de datos, ha sido reutilizado por los adversarios con
fines maliciosos», mencionó Cristian Souza, especialista en respuesta a
incidentes del Equipo de Respuesta de Emergencia Global de Kaspersky

«Es una cruel ironía que una medida de seguridad se haya
convertido en un arma de esta forma. Para las compañías que
utilizan BitLocker, es crucial garantizar contraseñas seguras y un
guardado seguro de las claves de recuperación. Las copias de
seguridad periódicas, offline y verificadas, son también
medidas esenciales de protección».

En Grupo MET podemos ayudarte a implementar esta y muchas mas herramienta para optimizar tu trabajo. ¡Contáctanos para saber más!

Contactanos