Investigadores de ciberseguridad han revelado algo nuevo Secuestro de datos Una cepa que abusa de Windows BitLocker para impedir que las víctimas accedan a sus dispositivos.
Como se informó pitidocomputadoraKaspersky nombró al nuevo ransomware ShrinkLocker porque, una vez que aparece, reduce las particiones disponibles que no son de arranque en 100 MB y crea nuevos volúmenes de arranque primarios del mismo tamaño. Luego utiliza BitLocker, una función de cifrado de disco completo incluida en algunas versiones. microsoft Windows, para cifrar archivos en el punto final de destino.
Hasta ahora se ha visto que afecta a agencias gubernamentales y empresas manufactureras y farmacéuticas.
Daño máximo
Para los no iniciados, BitLocker es una característica legítima de Windows, diseñada para proteger datos proporcionando cifrado de volúmenes completos.
ShrinkLocker no es la primera variante de ransomware que utiliza BitLocker para cifrar sistemas. pitidocomputadora Destacó que un hospital en Bélgica fue infectado con una cepa de ransomware que usaba BitLocker para cifrar 100 terabytes de datos en 40 servidores, y en 2022, un productor y distribuidor de carne ruso, conocido como Miratorg Holding, sufrió un destino similar.
Kaspersky advirtió que ShrinkLocker también viene “con características no reportadas anteriormente para maximizar el daño causado por el ataque”.
Entre otras cosas, el software de cifrado no deja caer una nota de rescate, lo cual es una práctica estándar. En cambio, etiqueta las nuevas particiones de arranque como direcciones de correo electrónico, lo que potencialmente invita a las víctimas a intentar comunicarse de esta manera.
Además, después de un cifrado exitoso, el ransomware eliminará todas las herramientas de seguridad de BitLocker, privando a las víctimas de cualquier opción para recuperar la clave de cifrado de BitLocker. Las únicas personas que poseen la clave son los atacantes, que la obtienen a través de TryCloudflare. Esta también es una herramienta legítima que los desarrolladores utilizan para probar el túnel de CloudFlare, sin tener que agregar un sitio al DNS de CloudFlare.
Hasta la fecha, actores de amenazas no identificados han comprometido sistemas pertenecientes a fabricantes de acero y vacunas en México, Indonesia y Jordania.