Une nouvelle souche de ransomware appelée ShrinkLocker crée une nouvelle partition de démarrage pour chiffrer les systèmes d’entreprise à l’aide de Windows BitLocker.
ShrinkLocker, ainsi nommé parce qu’il crée le volume de démarrage en réduisant les partitions non amorçables disponibles, a été utilisé pour cibler une entité gouvernementale et des entreprises des secteurs des vaccins et de la fabrication.
Création de nouveaux volumes de démarrage
Ransomware utilisant BitLocker pour chiffrer les ordinateurs n’est pas nouveau. Un acteur malveillant a utilisé la fonctionnalité de sécurité de Windows pour chiffrer 100 To de données sur 40 serveurs d’un hôpital en Belgique. Un autre attaquant l’a utilisé pour chiffrer les systèmes d’un producteur et distributeur de viande basé à Moscou.
En septembre 2022, Microsoft a averti qu’un attaquant parrainé par l’État iranien avait utilisé BitLocker pour chiffrer les systèmes exécutant Windows 10, Windows 11 ou Windows Server 2016 et versions ultérieures.
Cependant, Kaspersky dit que ShrinkLocker est livré « avec des fonctionnalités non signalées auparavant pour maximiser les dégâts de l’attaque. »
ShrinkLocker est écrit en Visual Basic Scripting (VBScript), un langage introduit par Microsoft en 1996 et est maintenant sur un chemin de dépréciation-disponible en tant que fonctionnalité à la demande à partir de Windows 11, version 24H2 (actuellement en phase de prévisualisation de la version).
L’une de ses fonctionnalités consiste à détecter la version spécifique de Windows exécutée sur la machine cible à l’aide de Windows Management Instrumentation (WMI) avec la classe Win32_OperatingSystem.
L’attaque ne se poursuit que si des paramètres spécifiques sont remplis, tels que le domaine actuel correspondant à la cible et une version de système d’exploitation (OS) plus récente que Vista. Sinon, ShrinkLocker se termine automatiquement et se supprime de lui-même.
Si la cible correspond aux exigences de l’attaque, le logiciel malveillant utilise l’utilitaire diskpart de Windows pour réduire de 100 Mo chaque partition non amorçable et divise l’espace non alloué en nouveaux volumes principaux de même taille.
Les chercheurs de Kaspersky disent que dans Windows 2008 et 2012, le ransomware Shrink Locker a d’abord enregistré les fichiers de démarrage avec l’index des autres volumes.
Les mêmes opérations de redimensionnement sont effectuées sur d’autres versions du système d’exploitation Windows, mais avec un morceau de code différent, expliquent les chercheurs dans leur analyse technique.
Le logiciel malveillant utilise ensuite l’outil de ligne de commande BCDEdit pour réinstaller les fichiers de démarrage sur les partitions nouvellement créées.
Verrouillage des utilisateurs
ShrinkLocker modifie également les entrées de registre pour désactiver les connexions de bureau à distance ou activer le cryptage BitLocker sur les hôtes sans Module de plateforme sécurisée (TPM) – une puce dédiée qui fournit des fonctions matérielles liées à la sécurité.
Grâce à une analyse dynamique des logiciels malveillants, les chercheurs de Kaspersky ont pu confirmer que le logiciel malveillant apportait les modifications de registre suivantes:
- fDenyTSConnections = 1: désactive les connexions RDP
- scforceoption = 1: applique l’authentification par carte à puce
- Utiliser Advanced Startup = 1: nécessite l’utilisation du code PIN BitLocker pour l’authentification de pré-démarrage
- Activer BDE sans TPM = 1: autorise BitLocker sans puce TPM compatible
- Utiliser TPM = 2: permet l’utilisation de TPM si disponible
- Utiliser le code PIN TPM = 2: permet l’utilisation d’un code PIN de démarrage avec TPM si disponible
- UseTPMKey = 2: permet l’utilisation d’une clé de démarrage avec TPM si disponible
- UseTPMKeyPIN = 2: permet l’utilisation d’une clé de démarrage et d’un code PIN avec TPM si disponible
- Activer Non TPM = 1: autorise BitLocker sans puce TPM compatible, nécessite un mot de passe ou une clé de démarrage sur une clé USB
- Utiliser une clé de chiffrement partielle = 2: nécessite l’utilisation d’une clé de démarrage avec TPM
- Utiliser le code PIN = 2: nécessite l’utilisation d’un code PIN de démarrage avec TPM
L’auteur de la menace derrière ShrinkLocker ne dépose pas un fichier aléatoire pour établir un canal de communication avec la victime. Au lieu de cela, ils fournissent une adresse e-mail de contact (onboardingbinder[at]proton[dot]me, conspiracy id 9[at]protonmail[dot]com) comme étiquette des nouvelles partitions de démarrage.
Cependant, cette étiquette ne sera pas vue par les administrateurs à moins qu’ils ne démarrent l’appareil à l’aide d’un environnement de récupération ou via d’autres outils de diagnostic, ce qui la rend assez facile à manquer.
Après avoir chiffré les lecteurs, l’auteur de la menace supprime les protecteurs BitLocker (par exemple, TPM, code PIN, clé de démarrage, mot de passe, mot de passe de récupération, clé de récupération) pour refuser à la victime toute option de récupération de la clé de chiffrement BitLocker, qui est envoyée à l’attaquant.
La clé générée pour crypter les fichiers est une combinaison de 64 caractères de multiplication aléatoire et de remplacement d’une variable par des nombres de 0 à 9, des caractères spéciaux et la phrase holoalphabétique « Le renard brun rapide saute par-dessus le chien paresseux. »
La clé est fournie via l’outil Try Cloudflare, un service légitime permettant aux développeurs d’expérimenter le tunnel de CloudFlare sans ajouter de site au DNS de CloudFlare.
Dans la phase finale de l’attaque, ShrinkLocker force le système à s’arrêter pour que toutes les modifications prennent effet et laisse l’utilisateur avec les lecteurs verrouillés et aucune option de récupération BitLocker.
BitLocker vous permet de créer un message personnalisé sur les écrans de récupération, ce qui aurait été l’endroit idéal pour afficher un message d’extorsion aux victimes.
L’absence d’une note de rançon facilement visible et d’un e-mail simplement laissé comme étiquette de lecteur pourrait indiquer que ces attaques sont censées être de nature destructrice plutôt que pour un gain financier.
Kaspersky a découvert que ShrinkLocker a de multiples variantes et qu’il a été utilisé contre une entité gouvernementale ainsi que contre des organisations des industries de fabrication d’acier et de vaccins au Mexique, en Indonésie et en Jordanie.
Cristian Souza, spécialiste de la réponse aux incidents chez Kaspersky Global Emergency Response Team, affirme que les entreprises utilisant BitLocker sur leurs systèmes doivent garantir un stockage sécurisé des clés de récupération et maintenir des sauvegardes régulières qui sont enregistrées hors ligne et testées.
De plus, il est recommandé aux organisations d’utiliser une solution EPP (Endpoint Protection Platforms) correctement configurée pour détecter les tentatives d’abus BitLocker, activer des privilèges minimaux pour les utilisateurs, activer la journalisation et la surveillance du trafic réseau (requêtes GET et POST), suivre les événements liés à l’exécution de VBS et PowerShell et consigner les scripts associés.