Perusahaan keamanan siber Rumania, Bitdefender, telah merilis dekripsi gratis untuk membantu korban memulihkan data yang dienkripsi menggunakan ransomware ShrinkLocker.
Decryptor ini merupakan hasil analisis komprehensif terhadap cara kerja ShrinkLocker, yang memungkinkan para peneliti menemukan “jendela peluang khusus untuk pemulihan data segera setelah penghapusan pelindung dari disk yang dienkripsi BitLocker.”
ShrinkLocker pertama kali didokumentasikan pada Mei 2024 oleh Kaspersky, yang menemukan malware tersebut menggunakan utilitas BitLocker asli Microsoft untuk mengenkripsi file sebagai bagian dari serangan pemerasan yang menargetkan Meksiko, Indonesia, dan Yordania.
Bitdefender, yang menyelidiki insiden ShrinkLocker yang menargetkan perusahaan layanan kesehatan yang tidak disebutkan namanya di Timur Tengah, mengatakan bahwa serangan tersebut kemungkinan besar berasal dari mesin milik kontraktor, sekali lagi menyoroti bagaimana pelaku ancaman semakin menyalahgunakan hubungan tepercaya untuk menyusup ke dalam rantai pasokan.
Pada tahap berikutnya, pelaku ancaman berpindah secara lateral ke pengontrol domain Direktori Aktif dengan menggunakan kredensial sah untuk akun yang disusupi, diikuti dengan membuat dua tugas terjadwal untuk mengaktifkan proses ransomware.
Sementara tugas pertama menjalankan Visual Basic Script (“Check.vbs”) yang menyalin program ransomware ke setiap mesin yang bergabung dengan domain, tugas kedua – yang dijadwalkan dua hari kemudian — mengeksekusi ransomware yang diterapkan secara lokal (“Audit.vbs”) .
Serangan tersebut, kata Bitdefender, berhasil mengenkripsi sistem yang menjalankan Windows 10, Windows 11, Windows Server 2016, dan Windows Server 2019. Konon, varian ShrinkLocker yang digunakan dikatakan merupakan versi modifikasi dari versi aslinya.
Digambarkan sebagai ransomware yang sederhana namun efektif, ransomware ini menonjol karena ditulis dalam VBScript, sebuah bahasa skrip yang menurut Microsoft tidak akan digunakan lagi mulai paruh kedua tahun 2024. Selain itu, alih-alih menerapkan algoritma enkripsinya sendiri, malware ini menggunakan BitLocker sebagai senjata untuk mencapai tujuannya.
Skrip ini dirancang untuk mengumpulkan informasi tentang konfigurasi sistem dan sistem operasi, setelah itu mencoba memeriksa apakah BitLocker sudah diinstal pada mesin Windows Server, dan jika belum, instal menggunakan perintah PowerShell dan kemudian melakukan “reboot paksa” menggunakan Win32Shutdown.
Tapi Bitdefender mengatakan pihaknya mencatat bug yang menyebabkan permintaan ini gagal dengan kesalahan “Privilege Not Held”, menyebabkan VBScript terjebak dalam loop tak terbatas karena upaya reboot yang gagal.
“Bahkan jika server di-boot ulang secara manual (misalnya oleh administrator yang tidak curiga), skrip tidak memiliki mekanisme untuk melanjutkan eksekusi setelah reboot, yang berarti serangan dapat dihentikan atau dicegah,” Martin Zugec, direktur solusi teknis di Bitdefender , dikatakan.
Ransomware ini dirancang untuk menghasilkan kata sandi acak yang berasal dari informasi spesifik sistem, seperti lalu lintas jaringan, memori sistem, dan penggunaan disk, yang menggunakannya untuk mengenkripsi drive sistem.
Kata sandi unik kemudian diunggah ke server yang dikendalikan oleh penyerang. Setelah restart, pengguna diminta memasukkan kata sandi untuk membuka kunci drive terenkripsi. Layar BitLocker juga dikonfigurasi untuk menampilkan alamat email kontak pelaku ancaman untuk memulai pembayaran sebagai imbalan atas kata sandi.
Bukan itu saja. Skrip membuat beberapa modifikasi Registri untuk membatasi akses ke sistem dengan menonaktifkan koneksi RDP jarak jauh dan mematikan login berbasis kata sandi lokal. Sebagai bagian dari upaya pembersihannya, ia juga menonaktifkan aturan Windows Firewall dan menghapus file audit.
Bitdefender lebih lanjut menunjukkan bahwa nama ShrinkLocker menyesatkan karena fungsionalitas yang sama terbatas pada sistem Windows lama dan tidak benar-benar mengecilkan partisi pada sistem operasi saat ini.
“Dengan menggunakan kombinasi Objek Kebijakan Grup (GPO) dan tugas terjadwal, ini dapat mengenkripsi beberapa sistem dalam jaringan hanya dalam 10 menit per perangkat,” kata Zugec. “Hasilnya, kompromi menyeluruh terhadap suatu domain dapat dicapai dengan sedikit usaha.”
“Pemantauan proaktif terhadap log peristiwa Windows tertentu dapat membantu organisasi mengidentifikasi dan merespons potensi serangan BitLocker, bahkan pada tahap awal, seperti saat penyerang sedang menguji kemampuan enkripsi mereka.”
“Dengan mengonfigurasi BitLocker untuk menyimpan informasi pemulihan di Layanan Domain Direktori Aktif (AD DS) dan menerapkan kebijakan “Jangan aktifkan BitLocker hingga informasi pemulihan disimpan ke AD DS untuk drive sistem operasi,” organisasi dapat secara signifikan mengurangi risiko berbasis BitLocker serangan.”