La reconocida empresa de ciberseguridad Bitdefender ha desarrollado un descifrador gratuito para las víctimas de ShrinkLocker, un ransomware que ha llamado la atención por su enfoque único. En lugar de utilizar algoritmos de cifrado propios, este malware explota BitLocker, la herramienta nativa de cifrado de discos de Microsoft, para bloquear el acceso a los datos y exigir un rescate.

Detectado por primera vez en mayo de 2024, ShrinkLocker ha afectado a organizaciones en México, Indonesia y Jordania, con ataques recientes reportados en empresas de Oriente Medio.

¿Cómo funciona ShrinkLocker?

ShrinkLocker utiliza VBScript, un lenguaje de programación en desuso, para aprovechar BitLocker de manera malintencionada. Su modus operandi es el siguiente:

1. Detección de BitLocker: Verifica si BitLocker está instalado en el sistema y, si no lo está, lo instala utilizando comandos de PowerShell.

2. Generación de contraseñas aleatorias: Crea una contraseña única basada en parámetros del sistema (tráfico de red, memoria, etc.) y la envía a los servidores de los atacantes.

3. Bloqueo del acceso: Configura BitLocker para bloquear el disco y muestra una pantalla de recuperación que incluye instrucciones para el pago del rescate.

4. Diseminación en redes: Utiliza Group Policy Objects (GPOs) para propagarse rápidamente en entornos corporativos, afectando múltiples equipos en minutos.

Análisis de ataques recientes

Bitdefender descubrió que ShrinkLocker aprovechó una vulnerabilidad en la cadena de suministro para infiltrarse en una red corporativa. Utilizando credenciales de un contratista, los atacantes obtuvieron acceso a los controladores de dominio, desplegando el malware mediante tareas programadas en todos los dispositivos de la organización.

Bitdefender lanza un descifrador gratuito

En respuesta a esta amenaza, Bitdefender desarrolló un descifrador gratuito que revierte los efectos de ShrinkLocker al recuperar las contraseñas generadas por BitLocker.

Características del descifrador:

• Compatible con Windows 10, 11 y Server (versiones recientes).

• Se puede ejecutar desde un USB en máquinas comprometidas.

• Requiere intervención rápida tras el ataque para maximizar su eficacia.

• Restaura el acceso a los discos y elimina las configuraciones maliciosas de BitLocker.

Recomendaciones para prevenir ataques

Bitdefender sugiere medidas preventivas para protegerse contra ShrinkLocker y amenazas similares:

• Configurar BitLocker adecuadamente: Almacenar información de recuperación en Active Directory Domain Services (ADDS).

• Monitorear eventos sospechosos: Implementar herramientas de vigilancia proactiva para detectar comportamientos anómalos en redes.

• Actualizar y fortalecer credenciales: Reducir el riesgo de explotación mediante cuentas comprometidas.

Conclusión

ShrinkLocker es un recordatorio de cómo los ciberdelincuentes pueden reutilizar herramientas legítimas con fines maliciosos. La rápida respuesta de Bitdefender al ofrecer un descifrador gratuito subraya la importancia de la colaboración en ciberseguridad y de mantener una estrategia proactiva frente a las amenazas emergentes.

Para más información sobre el descifrador y recomendaciones de seguridad, consulta las fuentes oficiales de Bitdefender y los análisis en portales especializados.

Fuentes:

• ShrinkLocker (+Decryptor): From Friend to Foe, and Back Again

• New ShrinkLocker ransomware decryptor recovers BitLocker password

• Free Decryptor Released for BitLocker-Based ShrinkLocker Ransomware Victims