Gratis decryptor vrijgegeven voor op BitLocker gebaseerde ShrinkLocker Ransomware-slachtoffers

Het Roemeense cyberbeveiligingsbedrijf Bitdefender heeft een gratis decryptor uitgebracht waarmee slachtoffers gegevens kunnen herstellen die zijn gecodeerd met de ShrinkLocker-ransomware.

De decryptor is het resultaat van een uitgebreide analyse van de interne werking van ShrinkLocker, waardoor de onderzoekers een “specifieke kans op gegevensherstel konden ontdekken onmiddellijk na het verwijderen van beschermers van met BitLocker gecodeerde schijven.”

ShrinkLocker werd voor het eerst gedocumenteerd in mei 2024 door Kaspersky, die ontdekte dat de malware het eigen BitLocker-hulpprogramma van Microsoft gebruikte voor het versleutelen van bestanden als onderdeel van afpersingsaanvallen gericht op Mexico, Indonesië en Jordanië.

Bitdefender, dat onderzoek deed naar een ShrinkLocker-incident gericht op een niet bij naam genoemd gezondheidszorgbedrijf in het Midden-Oosten, zei dat de aanval waarschijnlijk afkomstig was van een machine van een aannemer, wat eens te meer benadrukt hoe bedreigingsactoren steeds vaker vertrouwde relaties misbruiken om de toeleveringsketen te infiltreren.

In de volgende fase stapte de bedreigingsacteur zijdelings over naar een Active Directory-domeincontroller door gebruik te maken van legitieme inloggegevens voor een gecompromitteerd account, gevolgd door het maken van twee geplande taken voor het activeren van het ransomwareproces.

Terwijl de eerste taak een Visual Basic Script (“Check.vbs”) uitvoerde dat het ransomwareprogramma naar elke machine die lid was van een domein kopieerde, voerde de tweede taak – gepland voor twee dagen later – de lokaal geïmplementeerde ransomware (“Audit.vbs”) uit. .

De aanval, zo zei Bitdefender, versleutelde met succes systemen met Windows 10, Windows 11, Windows Server 2016 en Windows Server 2019. Dat gezegd hebbende, zou de gebruikte ShrinkLocker-variant een aangepaste versie van de originele versie zijn.

De ransomware wordt omschreven als eenvoudig maar effectief en valt op door het feit dat hij is geschreven in VBScript, een scripttaal die volgens Microsoft vanaf de tweede helft van 2024 niet meer wordt gebruikt. Bovendien gebruikt de malware BitLocker in plaats van een eigen versleutelingsalgoritme te implementeren. zijn doelen bereiken.

Het script is ontworpen om informatie te verzamelen over de systeemconfiguratie en het besturingssysteem, waarna het probeert te controleren of BitLocker al op een Windows Server-machine is geïnstalleerd, en als dat niet het geval is, het installeert met behulp van een PowerShell-opdracht en vervolgens een “geforceerde herstart” uitvoert. met behulp van Win32Shutdown.

ShrinkLocker-ransomware

Maar Bitdefender zei dat het een bug heeft opgemerkt die ervoor zorgt dat dit verzoek mislukt met de foutmelding “Privilege Not Held”, waardoor het VBScript in een oneindige lus blijft hangen als gevolg van een mislukte herstartpoging.

“Zelfs als de server handmatig opnieuw wordt opgestart (bijvoorbeeld door een nietsvermoedende beheerder), beschikt het script niet over een mechanisme om de uitvoering ervan te hervatten na het opnieuw opstarten, wat betekent dat de aanval kan worden onderbroken of voorkomen”, zegt Martin Zugec, directeur technische oplossingen bij Bitdefender , gezegd.

De ransomware is ontworpen om een ​​willekeurig wachtwoord te genereren dat is afgeleid van systeemspecifieke informatie, zoals netwerkverkeer, systeemgeheugen en schijfgebruik, en gebruikt dit om de schijven van het systeem te coderen.

Het unieke wachtwoord wordt vervolgens geüpload naar een server die wordt beheerd door de aanvaller. Na het opnieuw opstarten wordt de gebruiker gevraagd het wachtwoord in te voeren om de gecodeerde schijf te ontgrendelen. Het BitLocker-scherm is ook geconfigureerd om het e-mailadres van de bedreigingsactor weer te geven om de betaling te initiëren in ruil voor het wachtwoord.

Dat is niet alles. Het script brengt verschillende registerwijzigingen aan om de toegang tot het systeem te beperken door externe RDP-verbindingen uit te schakelen en lokale, op wachtwoorden gebaseerde aanmeldingen uit te schakelen. Als onderdeel van de opruiminspanningen worden ook de Windows Firewall-regels uitgeschakeld en worden auditbestanden verwijderd.

Bitdefender wees er verder op dat de naam ShrinkLocker misleidend is, aangezien de gelijknamige functionaliteit beperkt is tot oudere Windows-systemen en de partities op de huidige besturingssystemen niet daadwerkelijk worden verkleind.

“Door een combinatie van Group Policy Objects (GPO’s) en geplande taken te gebruiken, kan het meerdere systemen binnen een netwerk versleutelen in slechts 10 minuten per apparaat”, aldus Zugec. “Als gevolg hiervan kan met zeer weinig moeite een volledig compromis van een domein worden bereikt.”

“Proactieve monitoring van specifieke Windows-gebeurtenislogboeken kan organisaties helpen potentiële BitLocker-aanvallen te identificeren en erop te reageren, zelfs in een vroeg stadium, bijvoorbeeld wanneer aanvallers hun encryptiemogelijkheden testen.”

“Door BitLocker te configureren om herstelinformatie op te slaan in Active Directory Domain Services (AD DS) en het beleid ‘BitLocker niet inschakelen totdat herstelinformatie is opgeslagen in AD DS voor schijven van het besturingssysteem’ af te dwingen, kunnen organisaties het risico op op BitLocker gebaseerde problemen aanzienlijk verminderen. aanvallen.”

Thijs Van der Does