ProtektNet Consulting Services
Contáctanos vía WhatsApp

+52 81 1824 2222

ProtektNet Consulting Services
Logo-ProtektNet-1
Contáctanos vía WhatsApp

+52 81 1824 2222

ProtektNet Consulting Services
RANSOMWARE SHIRNKLOCKER
29/08/2024

¿Qué es el ransomware SHRINK-LOCKER?

Investigadores de una firma de ciberseguridad han investigado cautelosamente un malicioso servicio de encriptación de unidades BitLocker de Microsoft teniendo mucho auge hasta el día de hoy apuntando a usuarios en México, Indonesia y Jordania, llamando este nuevo ransomware ShrinkLocker.

El despliegue del malware comienza con el script, almacenado como Disk.vbsen el C:ProgramDataMicrosoftWindowsTemplatesDirectorio ; Aprovecha la implementación de administración de Windows para recopilar información del sistema operativo, comprobando la compatibilidad antes de empezar con el cifrado. Las versiones anteriores de Windows, como XP, 2000, 2003 y Vista no les genera problema esto.

Una vez que verifica el sistema operativo, realiza operaciones de resolución de discos, creando espacio no asignado para ser utilizado para nuevas particiones, obligando a los volúmenes a desmontarse primero, y asigna un sistema de archivos y una carta de unidad a cada uno. Este ransomware utiliza servicios de Windows, tales como diskparty bcdbootpara gestionar estos procesos, asegurando que el malware pueda cifrar de manera eficiente las unidades del sistema de destino; para maximizar el impacto del ransomware, ShrinkLocker modifica varias entradas de registro relacionadas con BitLocker y la seguridad del sistema. Estos cambios le permiten activar BitLocker incluso si el dispositivo carece de un chip de Módulo de Plataforma de Trusted.

Este ransomware lo que hace es que genera una clave de cifrado aleatorio de 64 caracteres, convirtiéndola en una cadena segura y fugando con la clave, este script deshabilita cualquier protector de clave de encriptación existente, bloqueando efectivamente las opciones de recuperación para la víctima. La clave se convierte en una cadena segura y se envía al atacante a través de una petición HTTP POST, asi mismo la solicitud POST contiene información detallada sobre la máquina de la víctima, incluyendo la versión de Windows, unidades afectadas y la clave de cifrado y por si fuera poco para cubrir sus pistas, el malware borra los registros de Windows PowerShell, elimina tareas programadas y obliga a un apagón del sistema.

La mayor parte del código del script no está ofuscado, lo que sugiere que los atacantes ya habían ganado el control total del sistema de destino antes de ejecutar el ransomware.

Después de eliminar los protectores de BitLocker y configurar la encripción de las unidades, el script ejecuta las siguientes acciones para cubrir sus rastros:

Valida si el nombre del host es el blanco del malware, luego elimina los siguientes archivos:

  • \Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Preferences\ScheduledTasks\ScheduledTasks.xml
  • \scripts\Login.vbs
  • \scripts\Disk.vbs
  • C:\ProgramData\Microsoft\Windows\Templates\Disk.vbs

Después de encender el BitLocker en la computadora realiza un cierre forzado; los usuarios que vuelven a encender les muestra un pantallazo azul diciéndoles: “No hay más opciones de recuperación de BitLocker en Su PC”.

  • Indicadores de Compromiso (IoC) 2024

Hemos realizado búsquedas exhaustivas en diversos foros y sitios de Internet relacionados a Ciberseguridad y hemos encontrado pocoas variantes con su IoC en MD5, correos electronicos  por lo reciente del ransomware, los cuales los hemos analizado con Sophos y casi todos se detectaron, el resto, por funcionalidad de Cryptoguard hace su labor de detección y protección.

Por eso recomendamos que se tengan todos los Endpoints con el agente instalado, las bases de datos de AV actualizadas hasta la fecha más reciente y el módulo de Cryptoguard activo en su Política de Threat Protection en Sophos Intercept X, por lo pronto no hay necesidad de realizar ajustes adicionales.

Existen IoC detectados de SHRINKLOCKER

Indicadores de Compromiso

URLs:
hxxps://scottish-agreement-laundry-further[dot]trycloudflare[dot]com/updatelog
hxxps://generated-eating-meals-top[dot]trycloudflare.com/updatelog
hxxps://generated-eating-meals-top[dot]trycloudflare.com/updatelogead
hxxps://earthquake-js-westminster-searched[dot]trycloudflare.com:443/updatelog

E-mail:
onboardingbinder[at]proton[dot]me
conspiracyid9[at]protonmail[dot]com

MD5 hashes:
842f7b1c425c5cf41aed9df63888e768

Se recomienda a las organizaciones utilizar BitLocker u otras herramientas de cifrado para proteger la informacion corporativa, asi mismo se pueden tomar otras precauciones para evitarlo:

  • Utilizar soluciones de Endpoint solidas y configuradas correctamente para la detección de amenazas
  • Implementar soluciones de MDR (Detección y Respuesta Gestionadas) para la búsqueda proactiva de amenazas
  • Utilizar una contraseña segura y mantener las claves de recuperación en un lugar seguro.
  • Realizar copias de seguridad con frecuencia, guárdalas offline y verifica su integridad regularmente.
  • Verificar que los usuarios tengan privilegios mínimos para prevenir cambios no autorizados.

Fuentes

https://www.bankinfosecurity.com/shrinklocker-ransomware-exploits-microsofts-bitlocker-a-25322

https://securelist.lat/ransomware-abuses-bitlocker/98712/

 

 

Relacionadas

Abuso de Webhooks en n8n para Distribución de Malware mediante Phishing

Abuso de Webhooks en n8n para Distribución de Malware mediante Phishing

Campaña Bloody Wolf

Campaña Bloody Wolf: Uso de NetSupport RAT en Ataques de Spear‑Phishing

Explotación Activa de la Vulnerabilidad Metro4Shell en React Native CLI npm

Explotación Activa de la Vulnerabilidad Metro4Shell en React Native CLI npm

Campaña de malware distribuido a través de mensajes privados de Linkedin

Campaña de malware distribuido a través de mensajes privados de Linkedin

Write A Comment

Trabaja con Nostros

Contáctanos

Envíanos un WhatsApp

81 8625 8220

Monterrey

Atención Comercial: 81 8625 8220
Atención Técnica: 81 8625 8224
Servicios Administrados SOC: 81 8625 8228

CDMX

Atención Comercial: 55 2881 4524
Atención Técnica: 55 2881 4528

© 2021 ProtektNet Consulting S.A. de C.V. Todos los Derechos Reservados