Bitdefender bietet Entschlüsselungstool für ShrinkLocker-Opfer

BUKAREST / MÜNCHEN (IT BOLTWISE) – Bitdefender hat ein kostenloses Entschlüsselungstool veröffentlicht, das Opfern des ShrinkLocker-Ransomwares hilft, ihre Daten wiederherzustellen.

Die rumänische Cybersicherheitsfirma Bitdefender hat ein kostenloses Entschlüsselungstool veröffentlicht, das Opfern des ShrinkLocker-Ransomwares hilft, ihre Daten wiederherzustellen. Diese Entwicklung ist das Ergebnis einer umfassenden Analyse der Funktionsweise von ShrinkLocker, die es den Forschern ermöglichte, ein spezifisches Zeitfenster für die Datenwiederherstellung unmittelbar nach der Entfernung der Schutzmaßnahmen von BitLocker-verschlüsselten Festplatten zu entdecken.

ShrinkLocker wurde erstmals im Mai 2024 von Kaspersky dokumentiert, das die Verwendung des nativen BitLocker-Dienstprogramms von Microsoft zur Verschlüsselung von Dateien als Teil von Erpressungsangriffen auf Mexiko, Indonesien und Jordanien feststellte. Es scheint, dass der Schadcode von einem zehn Jahre alten, harmlosen Code adaptiert wurde. Bitdefender, das einen ShrinkLocker-Vorfall untersuchte, der ein ungenanntes Gesundheitsunternehmen im Nahen Osten betraf, erklärte, dass der Angriff wahrscheinlich von einem Gerät eines Auftragnehmers ausging, was erneut zeigt, wie Bedrohungsakteure zunehmend vertrauenswürdige Beziehungen ausnutzen, um in die Lieferkette einzudringen.

Im nächsten Schritt bewegte sich der Bedrohungsakteur lateral zu einem Active Directory-Domänencontroller, indem er legitime Anmeldedaten für ein kompromittiertes Konto nutzte, gefolgt von der Erstellung von zwei geplanten Aufgaben zur Aktivierung des Ransomware-Prozesses. Während die erste Aufgabe ein Visual Basic Script („Check.vbs“) ausführte, das das Ransomware-Programm auf jeden domänenverbundenen Rechner kopierte, führte die zweite Aufgabe – zwei Tage später geplant – die lokal bereitgestellte Ransomware („Audit.vbs“) aus. Der Angriff, so Bitdefender, verschlüsselte erfolgreich Systeme, die Windows 10, Windows 11, Windows Server 2016 und Windows Server 2019 ausführen.

Die verwendete ShrinkLocker-Variante wird als eine modifizierte Version der ursprünglichen Version beschrieben. Obwohl einfach, ist die Ransomware effektiv und zeichnet sich dadurch aus, dass sie in VBScript geschrieben ist, einer Skriptsprache, die Microsoft ab der zweiten Hälfte des Jahres 2024 depreziert. Anstatt einen eigenen Verschlüsselungsalgorithmus zu implementieren, nutzt die Malware BitLocker, um ihre Ziele zu erreichen. Das Skript ist so konzipiert, dass es Informationen über die Systemkonfiguration und das Betriebssystem sammelt, bevor es versucht zu überprüfen, ob BitLocker bereits auf einem Windows Server installiert ist, und falls nicht, installiert es dieses mit einem PowerShell-Befehl und führt dann einen „erzwungenen Neustart“ mit Win32Shutdown durch.

Bitdefender stellte jedoch einen Fehler fest, der dazu führt, dass diese Anforderung mit einem „Privilege Not Held“-Fehler fehlschlägt, wodurch das VBScript in einer Endlosschleife stecken bleibt, da der Neustartversuch nicht erfolgreich ist. „Selbst wenn der Server manuell neu gestartet wird (z. B. durch einen ahnungslosen Administrator), hat das Skript keinen Mechanismus, um seine Ausführung nach dem Neustart fortzusetzen, was bedeutet, dass der Angriff unterbrochen oder verhindert werden kann“, sagte Martin Zugec, technischer Lösungsdirektor bei Bitdefender. Der Cybersecurity-Anbieter teilte The Hacker News mit, dass der Fehler in allen Varianten von ShrinkLocker vorhanden ist, sich jedoch nur in bestimmten älteren Betriebssystemen manifestiert.

Das Ransomware-Skript ist auch so konzipiert, dass es ein zufälliges Passwort generiert, das aus systemspezifischen Informationen wie Netzwerkverkehr, Systemspeicher und Festplattennutzung abgeleitet wird, um die Laufwerke des Systems zu verschlüsseln. Dies geschieht in dem Versuch, Brute-Force-Versuche zu widerstehen. Das einzigartige Passwort wird dann auf einen vom Angreifer kontrollierten Server hochgeladen. Nach dem Neustart wird der Benutzer aufgefordert, das Passwort einzugeben, um das verschlüsselte Laufwerk zu entsperren. Der BitLocker-Bildschirm ist auch so konfiguriert, dass er die Kontakt-E-Mail-Adresse des Bedrohungsakteurs anzeigt, um die Zahlung im Austausch für das Passwort zu initiieren.

Das ist jedoch nicht alles. Das Skript nimmt mehrere Registry-Änderungen vor, um den Zugriff auf das System zu beschränken, indem es Remote-RDP-Verbindungen deaktiviert und lokale passwortbasierte Anmeldungen ausschaltet. Im Rahmen seiner Bereinigungsmaßnahmen deaktiviert es auch Windows-Firewall-Regeln und löscht Audit-Dateien. Bitdefender wies weiter darauf hin, dass der Name ShrinkLocker irreführend ist, da die namensgebende Funktionalität auf ältere Windows-Systeme beschränkt ist und dass es auf aktuellen Betriebssystemen keine Partitionen tatsächlich verkleinert.

Durch die Verwendung einer Kombination aus Gruppenrichtlinienobjekten (GPOs) und geplanten Aufgaben kann es mehrere Systeme innerhalb eines Netzwerks in nur 10 Minuten pro Gerät verschlüsseln, bemerkte Zugec. „Infolgedessen kann ein vollständiger Kompromiss einer Domäne mit sehr wenig Aufwand erreicht werden.“ Proaktives Monitoring spezifischer Windows-Ereignisprotokolle kann Organisationen helfen, potenzielle BitLocker-Angriffe bereits in ihren frühen Stadien zu identifizieren und darauf zu reagieren, z. B. wenn Angreifer ihre Verschlüsselungsfähigkeiten testen. Durch die Konfiguration von BitLocker zur Speicherung von Wiederherstellungsinformationen in Active Directory Domain Services (AD DS) und die Durchsetzung der Richtlinie „BitLocker nicht aktivieren, bis Wiederherstellungsinformationen in AD DS für Betriebssystemlaufwerke gespeichert sind“, können Organisationen das Risiko von BitLocker-basierten Angriffen erheblich reduzieren.