A Kaspersky identificou novos ataques de ransomware que utilizam o BitLocker da Microsoft para tentar encriptar ficheiros corporativos. Os cibercriminosos removem as opções de recuperação, impedindo que os ficheiros sejam restaurados, e utilizam um script malicioso com uma nova funcionalidade: pode detetar versões específicas do Windows e ativar o BitLocker de acordo com a versão correspondente. Os incidentes com este ransomware, denominado “ShrinkLocker”, e as suas variantes foram observados no México, Indonésia e Jordânia. Os cibercriminosos visaram empresas do sector do aço e do fabrico de vacinas, bem como uma entidade governamental.

Os cibercriminosos estão a utilizar o VBScript - uma linguagem de programação utilizada na automatização de tarefas em computadores Windows - para criar um script malicioso. De acordo com a equipa de Resposta a Emergências Globais da Kaspersky, este script possui funcionalidades anteriormente não relatadas que maximizam os danos de um ciberataque. A novidade sobre estes ataques é que o script verifica a versão atual do Windows instalada no sistema e ativa as funcionalidades do BitLocker em conformidade. Desta forma, acredita-se que o script é capaz de infetar os sistemas novos e as mais antigas, incluindo as versões até ao Windows Server 2008.

Caso a versão do sistema operativo seja adequada para o ataque, o script altera as definições de arranque e tenta encriptar todas as unidades usando o BitLocker, configurando uma secção separada na unidade que contém os ficheiros para arrancar o sistema operativo. Esta ação tem como objetivo bloquear o acesso ao utilizador. Adicionalmente, os atacantes também apagam os protetores utilizados para proteger a chave de encriptação do BitLocker, garantindo assim que a vítima não possa recuperar os seus ficheiros.

O script é criado para enviar informações sobre o sistema e a chave de encriptação gerada no computador comprometido para o servidor controlado pelos cibercriminosos. Após o ataque, apaga todos os registos da sua ação e os ficheiros que possam servir de pistas numa futura investigação.

O passo final deste malware remete para o encerramento forçado do sistema - uma capacidade facilitada pela criação e reinstalação de ficheiros numa partição de arranque separada, deixando a seguinte mensagem para o utilizador visualizar: “Não existem mais opções de recuperação do BitLocker no seu computador”. 

A Kaspersky denominou o script em questão de “ShrinkLocker”, uma vez que este nome realça o procedimento crítico de reduzir o tamanho de uma partição para criar espaço não alocado, um processo essencial para o atacante garantir que o sistema arranca corretamente com os ficheiros encriptados.

O que é particularmente preocupante neste caso é o facto de o BitLocker, originalmente concebido para mitigar os riscos de roubo ou exposição de dados, ter sido reutilizado por adversários para fins maliciosos. É uma ironia cruel que uma medida de segurança tenha sido transformada numa arma desta forma. Para as empresas que utilizam o BitLocker, é crucial garantir passwords fortes e um armazenamento seguro das chaves de recuperação. Os backups regulares, mantidos offline e testados, também são salvaguardas essenciais", explica Cristian Souza, Especialista na Resposta a Incidentes da Equipa de Resposta a Emergências Globais da Kaspersky.

A análise técnica detalhada destes incidentes está disponível na Securelist.

Classifique este item
(1 Vote)
Ler 438 vezes
Top