Una pieza de ransomware previamente desconocida, denominada ShrinkLocker, cifra los datos de las víctimas utilizando la función BitLocker integrada en el sistema operativo Windows.

BitLocker es un cifrador de volumen completo que debutó en 2007 con el lanzamiento de Windows Vista. Los usuarios lo emplean para cifrar discos duros completos y evitar que las personas lean o modifiquen datos en caso de que obtengan acceso físico al disco. A partir del lanzamiento de Windows 10, BitLocker ha utilizado de forma predeterminada el algoritmo de cifrado XTS-AES de 128 y 256 bits, lo que brinda a la función protección adicional contra ataques que dependen de la manipulación del texto cifrado para provocar cambios predecibles en el texto sin formato.

Recientemente, investigadores de la firma de seguridad Kaspersky encontraron un actor de amenazas que utiliza BitLocker para cifrar datos en sistemas ubicados en México, Indonesia y Jordania. Los investigadores llamaron al nuevo ransomware ShrinkLocker, tanto por su uso de BitLocker como porque reduce el tamaño de cada partición que no es de arranque en 100 MB y divide el espacio recién no asignado en nuevas particiones primarias del mismo tamaño.

«Nuestra respuesta a incidentes y análisis de malware son evidencia de que los atacantes están refinando constantemente sus tácticas para evadir la detección», escribieron los investigadores el viernes. «En este incidente, observamos el abuso de la función nativa BitLocker para el cifrado de datos no autorizado».

ShrinkLocker no es el primer malware que aprovecha BitLocker. En 2022, Microsoft informó que los atacantes de ransomware con vínculos con Irán también utilizaron la herramienta para cifrar archivos. Ese mismo año, la empresa agrícola rusa Miratorg fue atacada por ransomware que utilizaba BitLocker para cifrar archivos que residen en el almacenamiento del sistema de los dispositivos infectados.

Una vez instalado en un dispositivo, ShrinkLocker ejecuta un script de VisualBasic que primero invoca el Instrumental de administración de Windows y la clase Win32_OperatingSystem para obtener información sobre el sistema operativo.

«Para cada objeto dentro de los resultados de la consulta, el script verifica si el dominio actual es diferente del objetivo», escribieron los investigadores de Kaspersky. “Si es así, el script finaliza automáticamente. Después de eso, verifica si el nombre del sistema operativo contiene ‘xp’, ‘2000’, ‘2003’ o ‘vista’, y si la versión de Windows coincide con cualquiera de estos, el script finaliza automáticamente y se elimina».

Luego, el script continúa usando WMI para consultar información sobre el sistema operativo. Continúa realizando las operaciones de cambio de tamaño del disco, que pueden variar según la versión del sistema operativo detectada. El ransomware realiza estas operaciones sólo en unidades fijas locales. La decisión de dejar las unidades de red en paz probablemente esté motivada por el deseo de no activar las protecciones de detección de red.

Finalmente, ShrinkLocker desactiva las protecciones diseñadas para proteger la clave de cifrado de BitLocker y las elimina. Luego permite el uso de una contraseña numérica, como protector contra cualquier otra persona que recupere el control de BitLocker y como cifrador de datos del sistema. El motivo para eliminar los protectores predeterminados es desactivar las funciones de recuperación de claves por parte del propietario del dispositivo. ShrinkLocker luego genera una clave de cifrado de 64 caracteres mediante la multiplicación aleatoria y el reemplazo de:

• Una variable con los números del 0 al 9;
• El famoso pangrama, “El veloz zorro marrón salta sobre el perro perezoso”, en minúsculas y mayúsculas, que contiene todas las letras del alfabeto inglés;
• Caracteres especiales.

Después de varios pasos adicionales, los datos se cifran. La próxima vez que se reinicie el dispositivo, la pantalla tendrá este aspecto:

Descifrar unidades sin la clave proporcionada por el atacante es difícil y probablemente imposible en muchos casos. Si bien es posible recuperar algunas de las frases de contraseña y valores fijos utilizados para generar las claves, el script utiliza valores variables que son diferentes en cada dispositivo infectado. Estos valores variables no son fáciles de recuperar.

No existen protecciones específicas de ShrinkLocker para prevenir ataques exitosos. Kaspersky aconseja lo siguiente:

• Utilice una protección de endpoints sólida y correctamente configurada para detectar amenazas que intenten abusar de BitLocker;
• Implementar Detección y Respuesta Administradas (MDR) para escanear proactivamente en busca de amenazas;
• Si BitLocker está habilitado, asegúrese de que utilice una contraseña segura y de que las claves de recuperación estén almacenadas en una ubicación segura;
• Asegúrese de que los usuarios tengan solo privilegios mínimos. Esto les impide habilitar funciones de cifrado o cambiar las claves de registro por su cuenta;
• Habilite el registro y monitoreo del tráfico de red. Configure el registro de solicitudes GET y POST. En caso de infección, las solicitudes realizadas al dominio del atacante pueden contener contraseñas o claves;
• Supervise los eventos asociados con la ejecución de VBS y PowerShell, luego guarde los scripts y comandos registrados en un repositorio externo que almacene la actividad que puede eliminarse localmente;
• Realice copias de seguridad con frecuencia, guárdelas sin conexión y pruébelas.

El informe del viernes también incluye indicadores que las organizaciones pueden utilizar para determinar si han sido atacadas por ShrinkLocker.

El objetivo de la función de seguridad Bitlocker de Microsoft es proteger los datos personales almacenados localmente en los dispositivos y, en particular, cuando esos dispositivos se pierden o se ven físicamente comprometidos. Con Bitlocker, no debería importar si pierde su computadora portátil o si alguien pellizca su SSD. Aún no se puede acceder a tus datos.

Excepto que puede y todo lo que se necesita es una Raspberry Pi de $10 y un poco (bueno, mucho) ingenio, según el canal de YouTube Stacksmashing (a través de Hardwareluxx). ¿Cómo es eso? Bueno, se trata del chip TPM o Trusted Platform Module.

Bitlocker es una característica de ciertas versiones de Windows que encripta el contenido de su disco duro. Sin la clave de descifrado correcta, es prácticamente imposible descifrar esta protección. Entonces, incluso si alguien abriera físicamente su PC, sacara su disco interno y lo conectara a otra computadora, no podría leer los datos sin esa clave. Si es su unidad y perdió la clave de cifrado, consulte nuestro artículo sobre cómo encontrar una clave de BitLocker.

Lo que necesitarás

Solo algunas computadoras y algunas ediciones de Microsoft Windows pueden usar la función BitLocker. Si está utilizando alguna de las versiones «Home» de Windows, no tiene suerte. Solo las licencias Pro, Enterprise y Education son elegibles.

Actualización, 3:15 p. m. (hora del Pacífico): AMD compartió un comentario sobre la nueva divulgación de vulnerabilidades, que agregamos a continuación.

Artículo original, 9:16 a. m. PT: Un nuevo documento publicado por investigadores de seguridad de la Universidad Técnica de Berlín revela que el Módulo de plataforma confiable basado en firmware de AMD (fTPM / TPM) puede verse completamente comprometido a través de un ataque de inyección de falla de voltaje, lo que permite el acceso completo a los datos criptográficos que se encuentran dentro del fTPM. en un ataque llamado ‘faulTPM’. En última instancia, esto permite que un atacante comprometa por completo cualquier aplicación o cifrado, como BitLocker, que dependa únicamente de la seguridad basada en TPM.

Los investigadores lograron esta hazaña utilizando componentes listos para usar que cuestan aproximadamente $ 200 para atacar el Procesador de seguridad de plataforma (PSP) de AMD presente en los chips Zen 2 y Zen 3. El informe no especifica si las CPU Zen 4 son vulnerables y el ataque requiere acceso físico a la máquina durante «varias horas». Los investigadores también compartieron el código utilizado para el ataque en GitHub y una lista del hardware económico utilizado para el ataque.

El informe es especialmente pertinente ahora que Microsoft agregó TPM a sus requisitos de sistema para Windows 11, un movimiento que encontró resistencia debido a su impacto nocivo en el rendimiento de los juegos, incluso cuando funciona correctamente, y graves problemas de tartamudeo cuando no funciona. Sí, el requisito de TPM se elude fácilmente. Aún así, el impulso de Microsoft por la función ha aumentado la cantidad de aplicaciones que dependen únicamente de TPM 2.0 para las funciones de seguridad, lo que aumenta la sección transversal de aplicaciones vulnerables al nuevo truco faulTPM.

Nos comunicamos con AMD para obtener comentarios y la empresa emitió la siguiente declaración para Hardware de Tom:

“AMD está al tanto del informe de investigación que ataca nuestro módulo de plataforma confiable de firmware que parece aprovechar las vulnerabilidades relacionadas discutidas anteriormente en ACM CCS 2021. Esto incluye ataques realizados a través de medios físicos, generalmente fuera del alcance de las mitigaciones de seguridad de la arquitectura del procesador. Estamos continuamente innovando nuevas protecciones basadas en hardware en productos futuros para limitar la eficacia de estas técnicas. Específicamente para este documento, estamos trabajando para comprender las posibles nuevas amenazas y actualizaremos a nuestros clientes y usuarios finales según sea necesario”. — Portavoz de AMD para Hardware de Tom.

A nuestro entender, los documentos publicados en ACM CCS 2021 se centraron en un ataque de falla, pero no utilizaron el vector de ataque para comprometer el TPM. En cambio, el ataque se utilizó para derrotar a la virtualización cifrada segura. Como tal, esta nueva investigación revela un método novedoso mediante el cual el fTPM de AMD puede verse completamente comprometido.

Como recordatorio, los TPM discretos se conectan a una placa base y se comunican con el procesador para brindar seguridad, pero se ha demostrado que el bus externo entre la CPU y el TPM se puede piratear con múltiples enfoques diferentes. Como tal, el firmware TPM, o fTPM, se creó para incorporar la funcionalidad dentro del chip, proporcionando así seguridad de clase TPM 2.0 sin una interfaz fácilmente pirateable expuesta a los atacantes.

El ataque faulTPM se centra en atacar el fTPM, lo que, hasta donde sabemos, no ha sido posible antes. Como puede ver en la imagen de arriba del sistema Lenovo Ideapad 5 Pro que los investigadores usaron para ejecutar el ataque, no es una tarea sencilla y requerirá algunas horas de acceso físico a la máquina. Sin embargo, en el caso de los estados-nación o los niveles más altos de espionaje o espionaje corporativo, esto es bastante fácil de lograr.

Aquí podemos ver las múltiples conexiones a la fuente de alimentación, el chip BIOS SPI y el bus SVI2 (una interfaz de administración de energía) que los investigadores usaron en el sujeto de prueba de Lenovo. Estas conexiones se utilizan para ejecutar un ataque de inyección de falla de voltaje contra el PSP presente en las CPU Zen 2 y Zen 3, adquiriendo así el secreto exclusivo del chip que permite el descifrado de los objetos almacenados dentro del TPM. Aquí está el método de ataque paso a paso:

• Haga una copia de seguridad de la imagen flash del BIOS utilizando un programador flash SPI
• Conecte el hardware de inyección de fallas y determine los parámetros de ataque (4.1)
• Compile e implemente la carga útil extrayendo el secreto de derivación de clave (4.3)
• Inicie el analizador lógico para capturar los secretos de derivación de claves extraídos a través de SPI
• Comience el ciclo de ataque en la máquina de destino hasta que la carga útil se ejecute con éxito
• Analice y descifre la NVRAM utilizando la copia de seguridad de la ROM del BIOS y la salida de la carga útil con amd-nv-tool
• Extraiga y descifre objetos TPM protegidos por este fTPM con amd ftpm unseal

El cifrado BitLocker de Microsoft, que está integrado en Windows, viene habilitado de forma predeterminada en muchas PC y tiene un buen propósito. Si alguien robara su computadora portátil, arrancara el SSD e intentara leer datos de él, no tendría suerte.

Sin embargo, ¿qué sucede cuando eres tú quien intenta leer tu propio SSD? Esto me sucedió recientemente cuando la computadora portátil de mi esposa murió repentinamente, saqué su disco, lo puse en uno de los mejores gabinetes SSD y lo conecté a una PC que funcionaba. En lugar de ver un conjunto de carpetas en el Explorador de archivos, recibí un mensaje que me pedía la clave de BitLocker de la unidad.

Cómo recuperar su clave de BitLocker

Microsoft ha publicado un script de Powershell para ayudar a los equipos de TI a corregir una falla de seguridad de elusión de BitLocker que se encuentra en el entorno de recuperación de Windows (WinRE), lo que simplifica el proceso de protección de las imágenes de WinRE.

Por BleepingComputer (se abre en una pestaña nueva)la falla, rastreada como CVE-2022-41099, permite a los actores de amenazas eludir la función Cifrado de dispositivo BitLocker y obtener acceso a datos cifrados (se abre en una pestaña nueva) en ataques de baja complejidad.

En ventanas 11, BitLocker agrega una capa adicional de seguridad con cifrado para proteger su dispositivo y sus archivos del acceso no autorizado. Cuando se usa el cifrado, la función codifica los datos en el disco para que nadie pueda leerlos sin la clave de descifrado correcta (la contraseña de su cuenta).

La característica de seguridad de BitLocker está disponible en las ediciones Windows 11 Pro, Enterprise y Education. Sin embargo, en Windows 11 Home, puede usar «cifrado de dispositivo», una versión limitada de BitLocker. Funciona de manera idéntica a la versión completa, pero sin muchas funciones y configuraciones de administración avanzadas, como «BitLocker To Go». Además, al usar el cifrado de dispositivos, todas las unidades se cifrarán automáticamente, mientras que la versión completa de BitLocker le permite elegir el almacenamiento mediante el cifrado.