Neuer ShrinkLocker-Ransomware-Entschlüsseler stellt BitLocker-Passwort wieder her!
Bitdefender hat einen Decrypter für die Ransomware-Variante „ShrinkLocker“ veröffentlicht, die das in Windows integrierte Laufwerksverschlüsselungstool BitLocker nutzt, um die Dateien des Opfers zu sperren.
ShrinkLocker wurde im Mai 2024 von Forschern des Cybersicherheitsunternehmens Kaspersky entdeckt. Es ist zwar nicht so ausgefeilt wie andere Ransomware-Familien, integriert jedoch Funktionen, die den Schaden eines Angriffs maximieren können.
Der Analyse von Bitdefender zufolge scheint die Schadsoftware aus ungefährlichem, zehn Jahre altem Code unter Verwendung von VBScript zweckentfremdet worden zu sein und nutzt allgemein veraltete Techniken.
Die Forscher weisen darauf hin, dass die Betreiber von ShrinkLocker offenbar nicht sehr qualifiziert sind, redundanten Code und Tippfehler verwenden, Aufklärungsprotokolle in Form von Textdateien hinterlassen und sich auf leicht verfügbare Tools verlassen.
Allerdings war der Bedrohungsakteur auch in der Lage, Unternehmensziele erfolgreich anzugreifen.
In einem heutigen Bericht hebt Bitdefender einen ShrinkLocker-Angriff auf eine Gesundheitsorganisation hervor, bei dem Angreifer Windows 10-, Windows 11- und Windows Server-Geräte im gesamten Netzwerk, einschließlich Backups, verschlüsselt haben.
Der Verschlüsselungsprozess war nach 2,5 Stunden abgeschlossen und die Organisation verlor den Zugriff auf kritische Systeme, was möglicherweise zu Schwierigkeiten bei der Patientenversorgung führen könnte.
Bitdefender veröffentlicht ein kostenloses Entschlüsselungstool, das Opfern von ShrinkLocker helfen kann, ihre Dateien wiederherzustellen.
ShrinkLocker-Angriffe
Anstatt benutzerdefinierte Verschlüsselungsimplementierungen wie herkömmliche Ransomware zu verwenden, nutzt ShrinkLocker Windows BitLocker mit einem zufällig generierten Kennwort, das an den Angreifer gesendet wird.
Die Malware führt zunächst eine Windows Management Instrumentation (WMI)-Abfrage aus, um zu prüfen, ob BitLocker auf dem Zielsystem verfügbar ist, und installiert das Tool, falls es nicht vorhanden ist.
Als Nächstes werden alle Standardschutzmaßnahmen entfernt, die verhindern, dass das Laufwerk versehentlich verschlüsselt wird. Aus Geschwindigkeitsgründen wird das Flag „-UsedSpaceOnly“ verwendet, damit BitLocker nur belegten Speicherplatz auf der Festplatte verschlüsselt.
Das zufällige Passwort wird mithilfe von Daten zum Netzwerkverkehr und zur Speichernutzung generiert. Es sind also keine Muster vorhanden, die einen Brute-Force-Angriff möglich machen.
Das ShrinkLocker-Skript löscht und konfiguriert außerdem alle BitLocker-Protektoren neu, um die Wiederherstellung der Verschlüsselungsschlüssel zu erschweren.
„Protectoren sind Mechanismen, die von BitLocker verwendet werden, um den Verschlüsselungsschlüssel zu schützen. Dazu können Hardware-Protectoren wie TPMs oder Software-Protectoren wie Passwörter oder Wiederherstellungsschlüssel gehören. Durch das Löschen aller Protektoren soll das Skript es dem Opfer unmöglich machen, seine Daten wiederherzustellen oder das Laufwerk zu entschlüsseln“, erklärt Bitdefender.
Zur Verbreitung verwendet ShrinkLocker Gruppenrichtlinienobjekte (GPOs) und geplante Aufgaben, ändert Gruppenrichtlinieneinstellungen auf Active Directory-Domänencontrollern und erstellt Aufgaben für alle der Domäne beigetretenen Computer, um die Verschlüsselung aller Laufwerke im kompromittierten Netzwerk sicherzustellen.
Nach dem Neustart wird den Opfern ein BitLocker-Passwortbildschirm angezeigt, der auch die Kontaktdaten des Bedrohungsakteurs enthält.
Bitdefender veröffentlicht Decrypter
Bitdefender hat einen Entschlüsseler erstellt und veröffentlicht, der die Reihenfolge umkehrt, in der ShrinkLocker die Schutzfunktionen von BitLocker löscht und neu konfiguriert.
http://download.bitdefender.com/am/malware_removal/BDShrinkLockerUnlocker.exe
Die Forscher geben an, dass sie „ein spezifisches Zeitfenster für die Datenwiederherstellung unmittelbar nach der Entfernung der Schutzmechanismen von den mit BitLocker verschlüsselten Festplatten“ identifiziert hätten, das es ihnen ermögliche, das vom Angreifer festgelegte Passwort zu entschlüsseln und wiederherzustellen.
Dadurch ist es möglich, den Verschlüsselungsprozess rückgängig zu machen und die Laufwerke in ihren vorherigen, unverschlüsselten Zustand zurückzusetzen.
Opfer von ShrinkLocker können das Tool herunterladen und von einem USB-Laufwerk verwenden, das an die betroffenen Systeme angeschlossen ist. Wenn der BitLocker-Wiederherstellungsbildschirm angezeigt wird, sollten Benutzer in den BitLocker-Wiederherstellungsmodus wechseln und alle Schritte überspringen, um zu den erweiterten Optionen zu gelangen. Dort wird eine Eingabeaufforderung bereitgestellt, mit der das Entschlüsselungstool gestartet werden kann.
Die Forscher weisen darauf hin, dass die zum Entschlüsseln der Daten benötigte Zeit von der Hardware des Systems und der Komplexität der Verschlüsselung abhängt und einige Zeit in Anspruch nehmen kann.
Anschließend entsperrt der Entschlüsseler das Laufwerk und deaktiviert die Smartcard-basierte Authentifizierung.
Bitdefender weist darauf hin, dass der Entschlüsseler nur unter Windows 10, Windows 11 und aktuellen Windows Server-Versionen funktioniert und am effektivsten ist, wenn er kurz nach dem Ransomware-Angriff verwendet wird, wenn die BitLocker-Konfigurationen noch nicht vollständig überschrieben sind und wiederhergestellt werden können.
Leider können mit dieser Methode keine BitLocker-Passwörter wiederhergestellt werden, die mit anderen Methoden erstellt wurden.