Ransomware ShrinkLocker

Par Mezo en Ransomware

Se traduisent par :

De nombreux opérateurs de ransomwares s'interrogent sur la nécessité d'intégrer un mécanisme de verrouillage cryptographique dans leurs menaces malveillantes, étant donné la disponibilité du logiciel de chiffrement robuste de Microsoft dans Windows. Un exemple notable mis en avant par les experts en cybersécurité est ShrinkLocker. Cette variante du ransomware établit une nouvelle partition de démarrage pour chiffrer les systèmes d'entreprise à l'aide de Windows BitLocker.

Table des matières

Les acteurs de la menace verrouillent les données en abusant des fonctionnalités légitimes de Windows

Les cas de ransomware utilisant BitLocker pour chiffrer des ordinateurs ne sont pas rares. Dans un cas, un acteur malveillant a exploité cette fonctionnalité de sécurité de Windows pour chiffrer 100 To de données sur 40 serveurs dans un hôpital en Belgique. De même, un autre attaquant a utilisé BitLocker pour chiffrer les systèmes appartenant à un producteur et distributeur de viande basé à Moscou. Microsoft a émis un avertissement en septembre 2022, révélant qu'un attaquant parrainé par l'État iranien avait utilisé BitLocker pour chiffrer des systèmes exécutant Windows 10, Windows 11 ou Windows Server 2016 et versions ultérieures.

Cependant, après avoir examiné ShrinkLocker, les experts préviennent que cette menace présente des caractéristiques jusqu'alors non divulguées visant à amplifier l'ampleur de l'impact de l'attaque.

ShrinkLocker est exécuté uniquement lorsque certaines spécifications sont respectées

ShrinkLocker, codé en Visual Basic Scripting (VBScript), un langage introduit par Microsoft en 1996 et aujourd'hui en voie de disparition. Parmi ses fonctionnalités, la menace démontre la capacité d'identifier la version spécifique de Windows exécutée sur la machine cible en utilisant Windows Management Instrumentation (WMI) avec la classe Win32_OperatingSystem.

L'attaque ne se déroule que dans des conditions spécifiques, telles que le domaine actuel correspondant à la cible et la version du système d'exploitation (OS) plus récente que Vista. Sinon, ShrinkLocker se termine automatiquement et s'auto-supprime. Lorsque la cible répond aux critères de l'attaque, le logiciel malveillant utilise l'utilitaire de partie disque de Windows pour réduire chaque partition non démarrable de 100 Mo, divisant ainsi l'espace non alloué en nouveaux volumes principaux de tailles identiques.

Les chercheurs notent que dans Windows 2008 et 2012, ShrinkLocker Ransomware conserve initialement les fichiers de démarrage ainsi que l'index des autres volumes. Des opérations de redimensionnement similaires sont effectuées sur d'autres versions du système d'exploitation Windows, mais avec des segments de code différents, comme indiqué dans l'analyse technique des chercheurs. Par la suite, le malware utilise l'outil de ligne de commande BCDEdit pour réinstaller les fichiers de démarrage sur les partitions nouvellement générées.

Le ransomware ShrinkLocker rend les données sur des partitions entières de disque inutilisables

ShrinkLocker modifie également les entrées de registre pour désactiver les connexions de bureau à distance ou activer le chiffrement BitLocker sur les hôtes sans module de plateforme sécurisée (TPM). Cette puce dédiée fournit des fonctions matérielles liées à la sécurité.

L'acteur malveillant derrière ShrinkLocker ne dépose pas de fichier de rançon pour établir un canal de communication avec la victime. Au lieu de cela, ils fournissent une adresse e-mail de contact (onboardingbinder@proton.me, conspiracyid9@protonmail.com) comme étiquette des nouvelles partitions de démarrage. Cependant, cette étiquette ne sera pas vue par les administrateurs à moins qu'ils ne démarrent l'appareil à l'aide d'un environnement de récupération ou via d'autres outils de diagnostic, ce qui la rend assez facile à manquer.

Après avoir chiffré les lecteurs, l'acteur malveillant supprime les protecteurs BitLocker (par exemple, TPM, code PIN, clé de démarrage, mot de passe, mot de passe de récupération, clé de récupération) pour refuser à la victime toute possibilité de récupérer la clé de chiffrement BitLocker, qui est envoyée à l'attaquant.

La clé générée pour le cryptage des fichiers est une combinaison de 64 caractères de multiplication aléatoire et de remplacement d'une variable par des chiffres de 0 à 9, des caractères spéciaux et la phrase holoalphabétique « Le renard brun rapide saute par-dessus le chien paresseux ». La clé est fournie via l'outil TryCloudflare, un service légitime permettant aux développeurs d'expérimenter le tunnel de CloudFlare sans ajouter de site au DNS de CloudFlare.

Dans la dernière étape de l'attaque, ShrinkLocker force le système à s'arrêter pour que toutes les modifications prennent effet et laisse l'utilisateur avec les lecteurs verrouillés et sans options de récupération BitLocker.

Les acteurs de la menace ShrinkLocker ne sont peut-être pas motivés par des raisons financières

BitLocker offre la possibilité de créer un message personnalisé sur les écrans de récupération, offrant ainsi une plate-forme idéale pour afficher un message d'extorsion aux victimes. L’absence d’une demande de rançon bien visible et d’un e-mail simplement désigné comme étiquette de lecteur pourrait suggérer que ces attaques sont censées être de nature plus destructrices que motivées par des motivations financières.

Les chercheurs ont découvert que ShrinkLocker se manifeste sous plusieurs variantes et a été déployé contre une entité gouvernementale, ainsi que contre des organisations des secteurs de la fabrication de l'acier et des vaccins au Mexique, en Indonésie et en Jordanie.

Il est fortement conseillé aux entreprises utilisant BitLocker sur leurs systèmes d'assurer le stockage sécurisé des clés de récupération et de maintenir des sauvegardes hors ligne régulières qui sont périodiquement testées. En outre, les organisations sont invitées à déployer une solution Endpoint Protection Platform (EPP) correctement configurée pour détecter les tentatives d'abus de BitLocker, appliquer des privilèges utilisateur minimaux, permettre une journalisation et une surveillance complètes du trafic réseau (y compris les requêtes GET et POST), suivre les événements associés à Exécution VBS et PowerShell et journalisation des scripts pertinents.