Investigadores del GERT de Kaspersky han descubierto un nuevo ciberataque que utiliza la herramienta de protección nativa de Windows, Bitlocker, para cifrar los discos de las víctimas.
El software malicioso, conocido como ShrinkLocker, se ejecuta en forma de un complejo VBscript que reduce las particiones de disco del ordenador en 100 MB, crea una partición de arranque con el espacio liberado y activa la protección Bitlocker para los discos primarios.
A continuación, se eliminan todas las herramientas de recuperación de claves de Bitlocker, se transmite la propia clave al servidor de los atacantes mediante una única solicitud POST a través de un túnel Cloudflare y se reinicia el ordenador, dejando al usuario frente a la pantalla de introducción de la contraseña de Bitlocker. En este escenario, no hay una nota de rescate convencional, por lo que todas las etiquetas de disco del sistema se alteran para mostrar el correo electrónico de contacto de los atacantes.
El script es compatible con todas las versiones de Windows a partir de 7 y Server 2008.
Análisis completo: https://securelist.com/ransomware-abuses-bitlocker/112643/