178
A Kaspersky informou ter identificado um novo ransomware, apelidado de “ShrinkLocker”, que utiliza a ferramenta de criptografia BitLocker da Microsoft para encriptar dados corporativos. Para a empresa, a forma de actuação do “ShrinkLocker” é particularmente preocupante por recorrer à ferramenta BitLocker, que foi criada originalmente para mitigar os riscos de roubo ou exposição de dados, mas que agora é reaproveitada por hackers para fins maliciosos.
O novo ransomware, segundo a Kaspersky, remove as opções de recuperação do BitLocker para evitar que os arquivos sejam restaurados e utiliza um código malicioso baseado na linguagem de programação usada para automatizar tarefas em computadores Windows, a VBScript, a fim de detectar versões específicas do Windows e habilitar o BitLocker de acordo com a versão do Windows, maximizando os danos do ataque.
A novidade é que o referido código malicioso verifica a versão actual do Windows instalada no sistema e habilita os recursos do BitLocker adequadamente. Caso a versão do sistema operacional seja adequada para o ataque, o código malicioso altera as configurações de inicialização e tenta encriptar todas as unidades através do BitLocker.
“Ele (o malware) estabelece uma nova partição de iniciação, essencialmente configurando uma secção separada na unidade do computador contendo os arquivos para iniciar o sistema operacional. Esta acção visa bloquear a vítima numa fase posterior. Os invasores também excluem os protectores usados para proteger a chave de criptografia do BitLocker para que a vítima não possa recuperá-los”, explica a empresa.
Garantida a incapacidade da vítima recuperar os protectores, o malware envia as informações sobre o sistema e a chave de criptografia gerada no computador comprometido para o servidor controlado pelo autor do ataque. Feito isto, o agente da ameaça encobre os seus rastos eliminando os logs e vários arquivos que permitam a sua detecção numa possível investigação.
Para finalizar, o malware força o desligamento do sistema e a seguir a vítima vê a tela do BitLocker com a mensagem: “Não há mais opções de recuperação do BitLocker no seu PC”. Acredita-se que o malware seja capaz de infectar sistemas novos e antigos até o Windows Server 2008.
“O que é particularmente preocupante neste caso é que o BitLocker, originalmente concebido para mitigar os riscos de roubo ou exposição de dados, foi reaproveitado por adversários para fins maliciosos. É uma ironia cruel que uma medida de segurança tenha sido transformada em arma desta forma (…), disse o especialista da equipa global de resposta a emergências da Kaspersky, Cristian Souza.
Os primeiros incidentes envolvendo o ransomware “ShrinkLocker” e as suas variantes foram observados no México, na Indonésia e Jordânia. Os principais alvos incluíam empresas de produção de aço, vacinas e entidades governamentais.