Descubre Noticias de Ciberseguridad en nuestro TecnetBlog

Descifrador del Ransomware ShrinkLocker Recupera Acceso a BitLocker

Escrito por Gustavo Sánchez | Nov 13, 2024 6:06:56 PM

Una nueva herramienta de descifrado ha sido desarrollada para el ransomware 'ShrinkLocker', una variante que explota BitLocker, la herramienta de cifrado de discos incorporada en Windows, para bloquear los datos de las víctimas.

Identificado por primera vez a principios de 2024, ShrinkLocker no se compara en complejidad con otros ransomware modernos, pero su capacidad para manipular particiones y bloquear discos completos con BitLocker lo convierte en una amenaza preocupante para usuarios y empresas.

Según investigadores de ciberseguridad, este malware emplea técnicas rudimentarias y reutiliza componentes de código VBScript de hace más de una década, lo que demuestra cómo incluso métodos obsoletos pueden ser peligrosos en las manos equivocadas.

Los investigadores señalan que los operadores detrás de ShrinkLocker no parecen ser los más expertos. Usan código redundante, cometen errores tipográficos, dejan rastros evidentes en forma de archivos de texto y se apoyan en herramientas que cualquiera puede conseguir fácilmente. A pesar de esto, han logrado tener éxito en ataques dirigidos a organizaciones importantes.

La firma de seguridad Bitdefender, informó sobre un caso reciente en el que ShrinkLocker atacó a una organización de atención médica. Los atacantes lograron cifrar dispositivos con Windows 10, Windows 11 y Windows Server en toda la red, incluidas las copias de seguridad. Todo el proceso les tomó apenas 2,5 horas, dejando a la organización sin acceso a sistemas críticos. Esto, en un entorno donde cada minuto cuenta para la atención al paciente, pudo haber tenido consecuencias graves.

 

¿Cómo ataca ShrinkLocker?

 

A diferencia del ransomware tradicional que suele usar sus propios algoritmos de cifrado, ShrinkLocker toma un atajo y utiliza BitLocker, la herramienta de cifrado de discos de Windows. ¿El truco? Genera una contraseña aleatoria, la envía al atacante y luego bloquea el acceso a los datos de la víctima.

El proceso comienza con una consulta a través de WMI (Instrumental de Administración de Windows) para verificar si BitLocker está disponible en el sistema. Si no lo está, el malware lo instala automáticamente. Una vez listo, elimina las protecciones predeterminadas que normalmente impiden el cifrado accidental del disco. Para agilizar el proceso, usa el comando -UsedSpaceOnly, que cifra únicamente el espacio ocupado en el disco, haciéndolo más rápido y eficiente.

La contraseña que utiliza ShrinkLocker es generada de manera completamente aleatoria, basándose en datos de tráfico de red y uso de memoria. Esto hace que sea prácticamente imposible realizar un ataque de fuerza bruta para recuperarla.

Además, el script del ransomware no se queda ahí. Elimina y reconfigura todos los protectores de BitLocker. Para quienes no están familiarizados, los protectores son mecanismos de seguridad de BitLocker que protegen la clave de cifrado. Estos pueden incluir elementos como contraseñas, claves de recuperación o incluso protectores de hardware como los TPM (Módulos de Plataforma de Confianza). Al eliminarlos, ShrinkLocker complica al máximo la recuperación de datos.

Como explica Bitdefender: "Al eliminar todos los protectores, el script pretende que a la víctima le resulte imposible recuperar sus datos o descifrar la unidad."

Por si esto no fuera suficiente, ShrinkLocker también utiliza objetos de política de grupo (GPO) y tareas programadas para propagarse rápidamente en redes corporativas. Modifica la configuración de políticas en los controladores de dominio de Active Directory y crea tareas para que todas las máquinas unidas al dominio cifren sus unidades automáticamente. De esta forma, se asegura de bloquear no solo el dispositivo inicial, sino toda la red comprometida.

Este enfoque combina simplicidad con un impacto devastador, dejando a las víctimas con pocas opciones para recuperar sus sistemas sin ayuda externa.

 

Cadena de ataques ShrinkLocker (Fuente: Bitdefender)

 

Cuando las víctimas reinician sus dispositivos, lo primero que ven es la pantalla de BitLocker pidiendo una contraseña. Pero eso no es todo: también aparece un mensaje con los datos de contacto del atacante, como diciendo: "¿Quieres tus datos de vuelta? Habla conmigo." Es una táctica directa y escalofriante, diseñada para que las víctimas no tengan otra opción que negociar con el ciberdelincuente.

 

 

Podría interesarte leer: Protección contra Ransomware con Acronis

 

Bitdefender Lanza una Herramienta para Vencer a ShrinkLocker

 

Buenas noticias para quienes han sido víctimas de ShrinkLocker: Bitdefender ha desarrollado un descifrador gratuito que revierte parte del daño causado por este ransomware. Básicamente, la herramienta aprovecha un "punto débil" en el proceso del malware.

Según los investigadores, identificaron una pequeña "ventana de oportunidad" justo después de que ShrinkLocker elimina y reconfigura los protectores de BitLocker. Este descifrador puede recuperar la contraseña generada por los atacantes, permitiendo descifrar los discos afectados y devolverlos a su estado original, sin cifrar.

 

¿Cómo funciona el descifrador?

 

Las víctimas pueden descargar la herramienta y ejecutarla desde una unidad USB conectada al sistema afectado. Si estás frente a la pantalla de recuperación de BitLocker (esa que pide una contraseña y muestra los detalles de contacto del atacante), debes hacer lo siguiente:

 

  1. Entra al modo de recuperación de BitLocker.

  2. Omite los pasos iniciales hasta llegar a las opciones avanzadas.

  3. Desde ahí, abre el símbolo del sistema y lanza la herramienta de descifrado.

El proceso no es instantáneo, ya que el tiempo que tarda en descifrar los datos depende del hardware del sistema y la complejidad del cifrado. Pero una vez terminado, el descifrador desbloqueará la unidad y desactivará cualquier autenticación configurada, como las basadas en tarjeta inteligente.

 

 

Podrá interesarte: Nuevo Ransomware Ymir se Asocia con RustyStealer en sus Ataques

 

Limitaciones del Descifrador

 

Aunque es una herramienta poderosa, tiene algunas limitaciones. Solo funciona en sistemas con Windows 10, Windows 11 y versiones recientes de Windows Server. Además, es mucho más efectiva si se usa poco después del ataque, cuando las configuraciones de BitLocker aún no han sido completamente modificadas.

Eso sí, ten en cuenta que esta herramienta no puede recuperar contraseñas de BitLocker generadas por otros métodos, fuera del contexto de ShrinkLocker. En resumen, este descifrador es un salvavidas para quienes han sido atacados, pero la clave está en actuar rápido y seguir las instrucciones correctamente.