O Windows BitLocker tornou-se mais uma vez uma arma nas mãos dos cibercriminosos. Especialistas da Kaspersky Lab descobriram um novo vírus ransomware chamado ShrinkLocker, que usa BitLocker para criptografar dados em dispositivos atacados. Os invasores usaram esse ransomware para atacar a infraestrutura de TI de empresas e agências governamentais no México, na Indonésia e na Jordânia.
Fonte da imagem: securelist.com
Os invasores usam um script malicioso em VBScript, uma linguagem de script usada para automatizar tarefas em dispositivos Windows. O script verifica a versão do sistema operacional em uso e inicia o BitLocker, e pode fazer isso em um PC com diferentes versões da plataforma de software, a partir do Vista ou Windows Server 2008. Se o script detectar uma versão mais antiga do sistema operacional, ele é simplesmente removido do dispositivo.
O malware então reduz todas as partições de armazenamento em 100 MB e usa o espaço liberado para criar uma nova partição de inicialização. Por conta disso, o ransomware recebeu o nome de ShrinkLocker. Em seguida, os dados armazenados no dispositivo são criptografados usando o BitLocker e uma nova chave de criptografia de 64 caracteres é criada, que, junto com outras informações sobre o PC da vítima, é enviada aos invasores. Após a conclusão da criptografia, o computador é reinicializado e o sistema operacional é carregado a partir da partição recém-criada, e o acesso às informações armazenadas é completamente bloqueado para a vítima. O nome da nova partição de inicialização é alterado para o endereço de e-mail do hacker, provavelmente para que as vítimas possam negociar um resgate e restaurar o funcionamento dos dispositivos.
A mensagem observa que o autor do ShrinkLocker deve ter amplo conhecimento de como funcionam os recursos e utilitários internos do Windows. Os especialistas da Kaspersky Lab não conseguiram determinar para onde estão a ser realizados os ataques que utilizam o novo malware ou para onde estão a ser enviados os dados das vítimas. O script ShrinkLocker foi encontrado em apenas um PC onde o BitLocker não estava instalado. Os especialistas acreditam que a natureza dos ataques indica que o objetivo dos atacantes é interromper as operações e destruir dados, em vez de obter um resgate.
Para se proteger contra esse tipo de ataque, é recomendável fazer backups com maior frequência. Além disso, você deve limitar os direitos de edição dos usuários para que suas contas não possam alterar as configurações do BitLocker ou do registro. Além disso, recomenda-se a utilização de soluções avançadas de segurança da informação que possam monitorar atividades suspeitas e proteger a infraestrutura de TI.