Windows BitLocker se ha convertido una vez más en un arma en manos de los ciberdelincuentes. Especialistas de Kaspersky Lab descubierto un nuevo virus ransomware llamado ShrinkLocker, que utiliza BitLocker para cifrar datos en dispositivos atacados. Los atacantes utilizaron este ransomware para atacar la infraestructura de TI de empresas y agencias gubernamentales en México, Indonesia y Jordania.
Fuente de la imagen: Securelist.com
Los atacantes utilizan un script malicioso en VBScript, un lenguaje de scripting utilizado para automatizar tareas en dispositivos Windows. El script verifica la versión del sistema operativo en uso e inicia BitLocker, y puede hacerlo en una PC con diferentes versiones de la plataforma de software, comenzando desde Vista o Windows Server 2008. Si el script detecta una versión anterior del sistema operativo, simplemente se retira del dispositivo.
Luego, el malware reduce todas las particiones de almacenamiento en 100 MB y utiliza el espacio liberado para crear una nueva partición de inicio. Debido a esto, el ransomware recibió el nombre de ShrinkLocker. A continuación, los datos almacenados en el dispositivo se cifran mediante BitLocker y se crea una nueva clave de cifrado de 64 caracteres que, junto con otra información sobre la PC de la víctima, se envía a los atacantes. Una vez completado el cifrado, la computadora se reinicia y el sistema operativo se carga desde la partición recién creada, y el acceso a la información almacenada queda completamente bloqueado para la víctima. El nombre de la nueva partición de arranque se cambia a la dirección de correo electrónico del hacker, presumiblemente para que las víctimas puedan negociar un rescate y restaurar la funcionalidad de los dispositivos.
El mensaje señala que el autor de ShrinkLocker debe tener un amplio conocimiento de cómo funcionan las funciones y utilidades internas de Windows. Los expertos de Kaspersky Lab no pudieron determinar dónde se llevan a cabo los ataques con el nuevo malware ni adónde se envían los datos de las víctimas. El script ShrinkLocker se encontró solo en una PC donde BitLocker no estaba instalado. Los expertos creen que la naturaleza de los ataques indica que el objetivo de los atacantes es interrumpir las operaciones y destruir datos en lugar de obtener un rescate.
Para protegerse contra este tipo de ataques, se recomienda realizar copias de seguridad con mayor frecuencia. Además, debe limitar los derechos de edición de los usuarios para que sus cuentas no puedan cambiar BitLocker o la configuración del registro. Además de esto, se recomienda utilizar soluciones avanzadas de seguridad de la información que puedan monitorear actividades sospechosas y proteger la infraestructura de TI.
Si nota un error, selecciónelo con el mouse y presione CTRL+ENTER.
2024-05-25 11:59:00
#Kaspersky #Lab #descubrió #virus #ransomware #ShrinkLocker #utiliza #BitLocker,