Según la firma Kaspersky, los criminales lograron encontrar una vulnerabilidad más en Windows, de Microsoft.
Agencia Excélsior
Los cibercriminales siguen evolucionando sus ataques y el resultado más reciente es un nuevo método de ransomware bautizado como ShrinkLocker, el cual tiene en la mira a México, Indonesia y Jordania.
De acuerdo con los expertos de Kaspersky, los nuevos métodos de ataque surgen como una forma de encontrar maneras para evadir la detección, maximizar la compatibilidad y usar funciones nativas del sistema operativo.
Esto es lo que ocurre con el ataque ShrinkLocker porque lograron encontrar una forma de utilizar una herramienta legítima de Microsoft, BitLocker, con propósitos maliciosos.
La investigación llamada ShrinkLocker: Transformando BitLocker en ransomware, destaca que el propósito original de la herramienta de Microsoft es hacer frente a las amenazas de robo o exposición de datos procedentes de dispositivos perdidos, robados o desactivados de forma inadecuada.
Lamentablemente, en este caso, los piratas informáticos encontraron la manera de usarlo para cifrar archivos corporativos y robar las llaves de desencriptación, aunque lo más peligroso es su capacidad de adaptarse a diferentes versiones de Windows.
Es una cruel ironía que una medida de seguridad se haya convertido en una amenaza de esta manera”, consideró el especialista en respuesta a incidentes del Equipo Global de Respuesta a Emergencias de Kaspersky, Cristian Souza.
¿CÓMO LO LOGRAN?
Un ataque de ShrinkLocker implica que los ciberdelincuentes utilizan VBScript, un lenguaje de programación para automatizar tareas en ordenadores Windows, para crear un código malicioso.
Una vez que lograron infectar un equipo, principalmente a través de ingeniería social, el código malicioso comprueba la versión actual instalada del sistema y, dependiendo de ésta, activa las funcionalidades de BitLocker.
Debido a esa funcionalidad se cree que ShrinkLocker puede infectar tanto sistemas nuevos como antiguos, incluidas las versiones desde Windows Server 2008.
Souza destacó que, si la versión del sistema es apta para el ataque, el código malicioso altera su configuración para bloquear el acceso del usuario a la víctima.
Al mismo tiempo, los piratas informáticos eliminan las medidas de protección que soportan a BitLocker, con lo que se aseguran de que la persona no pueda recuperar los archivos.
El paso final del ataque lleva al apagado forzado del sistema, dejando un mensaje en la pantalla: “No hay más opciones de recuperación de BitLocker en su ordenador”.
Los encargados de la investigación encontraron que las campañas de ShrinkLocker se han realizado principalmente en México, Indonesia y Jordania, siendo los objetivos empresas del sector industrial, de fabricación de vacunas y organizaciones gubernamentales.
Aunque de momento Kaspersky no ha revelado el número total de empresas afectadas o cuántas veces se ha intentado usar este ataque.
Por lo anterior, Souza recomendó a todas las compañías que utilicen BitLocker implementar contraseñas fuertes y un almacenamiento seguro de las claves de recuperación, así como realizar copias de seguridad periódicas, mantenidas offline y comprobadas.
RECOMENDACIONES:
Utilizar un software de seguridad informática robusto que esté correctamente configurado para detectar amenazas que intenten utilizar BitLocker
Limitar los privilegios de los usuarios a la red e impedir la activación no autorizada de funciones de cifrado o la modificación de claves de registro
Habilitar el registro y la supervisión del tráfico de red, ya que los sistemas infectados pueden transmitir contraseñas o claves a dominios de estafadores
Supervisar los eventos de ejecución de VBScript y PowerShell, almacenando los scripts y comandos registrados en un repositorio externo para retener la actividad sospechosa
