A Kaspersky descobriu uma nova variante de ransomware que explora o BitLocker, uma ferramenta legítima da Microsoft, para encriptar dados corporativos. Este ransomware, denominado “ShrinkLocker”, foi detectado em empresas do setor industrial, na fabricação de vacinas e em entidades governamentais em locais como México, Indonésia e Jordânia.
Como funciona o ataque?
Os cibercriminosos empregam um script malicioso escrito em VBScript para atacar sistemas Windows. Este script é projetado para se adaptar às diferentes versões do sistema operacional, incluindo versões antigas como o Windows Server 2008. Ao identificar uma versão compatível, o script altera as configurações do BitLocker e remove opções de recuperação, tornando impossível a restauração dos arquivos encriptados. O ataque culmina com uma mensagem na tela: “Não existem mais opções de recuperação do BitLocker em seu computador.”
Cristian Souza, Especialista em Resposta a Incidentes do Global Emergency Response Team (GERT) da Kaspersky, destaca a gravidade do caso: “O que é particularmente preocupante neste caso é o fato de o BitLocker, originalmente concebido para mitigar os riscos de roubo ou exposição de dados, ter sido reutilizado por criminosos para fins maliciosos. É uma ironia cruel que uma medida de segurança tenha sido transformada numa arma desta forma.” Ele reforça a importância de garantir senhas fortes e o armazenamento seguro das chaves de recuperação, além de manter backups regulares e offline.
Medidas recomendadas
A Kaspersky recomenda as seguintes precauções para enfrentar tais ameaças:
- Utilize um software de segurança robusto e configurado corretamente para detectar ameaças que tentem explorar o BitLocker.
- Limite os privilégios dos usuários e evite a ativação não autorizada de funcionalidades de encriptação.
Habilite o registro e monitoramento do tráfego de rede para identificar transmissões suspeitas de senhas ou chaves. - Monitore eventos de execução de VBScript e PowerShell, armazenando scripts e comandos em um repositório externo para análise de atividades suspeitas.
Para mais detalhes e informações de segurança, acesse o blog da Kaspersky.
