.png)
El ransomware ShrinkLocker usa BitLocker para cifrar máquinas con Windows
Un nuevo ransomware llamado ShrinkLocker tiene la particularidad de depender de BitLocker, un componente integrado en Windows de forma predeterminada, para cifrar los datos de una computadora. Echemos un vistazo a esta amenaza.
El ransomware ShrinkLocker se basa en BitLocker para cifrar los datos y los discos de las máquinas Windows comprometidas, después de realizar cambios en el disco para crear su propio volumen de arranque. Se ha utilizado para dirigirse a organizaciones del sector médico, industrias y entidades gubernamentales.
Los investigadores de seguridad de Kaspersky han publicado un informe detallado sobre el ransomware ShrinkLocker, que puede encontrar en Esta página.
ShrinkLocker se basa en VBScript, WMI y diskpart
Es interesante notar que ShrinkLocker está escrito en VBScript (Visual Basic Scripting), un lenguaje que está al final de su vida útil y que Microsoft eliminará de Windows en unos años. Pero, mientras tanto, VBScript es perfectamente utilizable en Windows, aunque debería poder desinstalarse fácilmente de Windows 11 24H2.
​
Además, para detectar la versión de Windows que se ejecuta en la máquina objetivo, el ransomware ShrinkLocker se basa en WMI para invocar la clase "Win32_OperatingSystem", que es bien conocida por los administradores del sistema. Esto permite que el ransomware realice algunas comprobaciones, incluida la comprobación de que el dominio de la máquina coincide con el objetivo y que el sistema operativo es más reciente que Windows Vista.
Si el objetivo cumple con diferentes criterios, el ataque continúa mediante el uso de la herramienta diskpart integrada en Windows. Se utiliza para reducir todas las particiones que no son particiones de arranque en 100 MB. El espacio no asignado se utiliza para crear nuevos volúmenes primarios en el disco de la máquina.
​
​Por último, el registro de Windows se modifica para configurar el sistema para deshabilitar las conexiones de Escritorio remoto y habilitar BitLocker sin usar un chip TPM. Se mencionan las claves de registro "EnableBDEWithNoTPM" y "fDenyTSConnections".
Una máquina atrapada con BitLocker
El ransomware ShrinkLocker activa y configura BitLocker para que la víctima ya no pueda iniciar su máquina. Casi podríamos decir que la máquina fue saboteada a través de BitLocker.
​
La clave de BitLocker generada se pasa a los ciberdelincuentes, mientras que al final de la operación, ShrinkLocker obliga al sistema a apagarse para aplicar todos los cambios. Por lo tanto, el usuario termina con una máquina con discos bloqueados y sin ninguna opción de recuperación de BitLocker...
​
"Después de quitar los protectores de BitLocker y configurar el cifrado de disco, el script sigue los siguientes pasos para borrar sus rastros", señala Kaspersky. Esto se debe a que el ransomware realiza varias acciones de limpieza en la máquina, como eliminar el registro "Microsoft-Windows-PowerShell/Operational".
​
Podrían tratarse de ataques cuyo objetivo es destruir datos, ya que el ransomware no deja notas de rescate. La única información proporcionada es una dirección de correo electrónico que aparece como etiqueta en la nueva partición creada por el malware.