ShrinkLocker (+ Decryptor): Vom Freund zum Feind, und wieder zurück

Stellen Sie sich einen Ransomware-Angriff vor, der so altmodisch ist, dass er VBScript und eine integrierte Windows-Funktion für die Verschlüsselung verwendet. ShrinkLocker (entdeckt im Mai 2024) ist eine überraschend einfache, aber effektive Ransomware, die Relikte aus der Vergangenheit nutzt.

Im Gegensatz zu den meisten modernen Ransomware-Programmen, die auf ausgefeilten Verschlüsselungsalgorithmen beruhen, verfolgt ShrinkLocker einen einfacheren, unkonventionelleren Ansatz. ShrinkLocker ändert die BitLocker-Konfigurationen, um die Laufwerke eines Systems zu verschlüsseln. Zunächst wird geprüft, ob BitLocker aktiviert ist, und falls nicht, wird es installiert. Anschließend wird das System mit einem zufällig generierten Kennwort neu verschlüsselt. Dieses einmalige Kennwort wird auf einen vom Angreifer kontrollierten Server hochgeladen. Nach dem Neustart des Systems wird der Benutzer aufgefordert, das Kennwort einzugeben, um das verschlüsselte Laufwerk zu entsperren. Die Kontakt-E-Mail des Angreifers wird auf dem BitLocker-Bildschirm angezeigt und fordert die Opfer auf, ein Lösegeld für den Entschlüsselungsschlüssel zu zahlen.

Mithilfe einer Kombination aus Gruppenrichtlinienobjekten (GPOs) und geplanten Aufgaben können mehrere Systeme in einem Netzwerk in nur 10 Minuten pro Gerät verschlüsselt werden. Infolgedessen kann eine vollständige Kompromittierung einer Domäne mit sehr geringem Aufwand erreicht werden, wie in einer unserer Untersuchungen gezeigt wurde. Diese Einfachheit macht den Angriff besonders attraktiv für einzelne Bedrohungsakteure, die möglicherweise nicht Teil eines größeren Ransomware-as-a-Service (RaaS)-Ökosystems sind.

Als wir ShrinkLocker untersuchten, entdeckten wir eine überraschende Wahrheit: Dieser Code wurde möglicherweise vor über einem Jahrzehnt geschrieben, wahrscheinlich für harmlose Zwecke. Es ist eine digitale Zeitkapsel, die für böswillige Zwecke umfunktioniert wurde. Zwar haben auch andere Sicherheitsforscher ShrinkLocker analysiert, doch ihre Ergebnisse reichen oft nicht aus, um das Verhalten des Programms in modernen Netzwerkumgebungen genau zu beschreiben. So ist beispielsweise selbst der Name der Malware, „ShrinkLocker“, irreführend, da sie auf aktuellen Betriebssystemen keine Partitionen verkleinert.

Eine unserer größten Sorgen war, ob dieser Angriffsvektor ein neuer Trend werden könnte. Schließlich handelt es sich um ein relativ einfaches Konzept, das auch ein weniger erfahrener Programmierer umsetzen könnte. Glücklicherweise hat unsere Untersuchung einige positive Nachrichten zutage gefördert: Es ist möglich, einen Entschlüsseler zu entwickeln und sogar BitLocker so zu konfigurieren, dass diese Angriffe abgewehrt werden. Wir hoffen, dass wir mit unseren Erkenntnissen Sicherheitsexperten und Forschern dabei helfen können, die mit dieser Art von Angriffen verbundenen Risiken zu verstehen und zu mindern.

ShrinkLocker entschlüsseln

Mit der Weiterentwicklung von Ransomware nutzen Angreifer fortschrittliche Techniken, einschließlich durchgesickertem Quellcode von professionellen Ransomware-as-a-Service-Gruppen und modernen Programmiersprachen wie Rust und Go. Dadurch wird es immer schwieriger, Entschlüsselungstools allein durch Reverse Engineering zu entwickeln. Im Fall von ShrinkLocker haben wir jedoch ein bestimmtes Zeitfenster für die Datenwiederherstellung unmittelbar nach der Entfernung der Schutzmaßnahmen von BitLocker-verschlüsselten Festplatten identifiziert. Wir haben uns entschlossen, dieses Entschlüsselungsprogramm öffentlich zugänglich zu machen und damit unsere Sammlung von 32 bereits veröffentlichten Entschlüsselungstools zu ergänzen.

1. Laden Sie das Entschlüsselungsprogramm von https://download.bitdefender.com/am/malware_removal/BDShrinkLockerUnlocker.exe herunter.
2. Schalten Sie den Computer ein und warten Sie, bis der Bildschirm zur BitLocker-Wiederherstellung angezeigt wird. Wenn Sie zur Eingabe des BitLocker-Wiederherstellungsschlüssels aufgefordert werden, drücken Sie Esc, um den BitLocker-Wiederherstellungsmodus aufzurufen.
3. Wählen Sie auf dem Bildschirm „BitLocker-Wiederherstellung“ die Option „Dieses Laufwerk überspringen“.
4. Wählen Sie „Problembehandlung“ und dann „Erweiterte Optionen“.
5. Wählen Sie „Eingabeaufforderung“ aus dem Menü der erweiterten Optionen.
6. Stellen Sie sicher, dass Sie die Datei BDShrinkLockerUnlocker.exe vorbereitet haben. Sie können sie auf ein USB-Laufwerk übertragen und dieses an Ihren Computer anschließen. Navigieren Sie in der Eingabeaufforderung zu dem Laufwerksbuchstaben, auf dem sich der Entschlüsseler befindet (z. B. D:).
7. Geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste: D:\BDShrinkLockerUnlocker.exe Hinweis: Sie können das USB-Laufwerk nach dem Starten des Entschlüsselungsprogramms abtrennen.
8. Der Entschlüsselungsprozess kann einige Zeit in Anspruch nehmen, abhängig von der Hardware Ihres Systems und der Komplexität der Verschlüsselung. Bitte haben Sie etwas Geduld. Sobald die Entschlüsselung abgeschlossen ist, wird Decryptor das Laufwerk automatisch entsperren und die Smartcard-Authentifizierung deaktivieren.
9. Nach dem Neustart sollte Ihr Computer normal starten.

Entschlüsselungs-Tools sind von Natur aus reaktiv und oft auf bestimmte Zeiträume oder Software-Versionen beschränkt. Außerdem können sie zwar den Zugriff auf verschlüsselte Daten wiederherstellen, verhindern aber nicht, dass Bedrohungsakteure es mit mehr Erfolg erneut versuchen. Wir empfehlen dringend, unseren Abschnitt „Empfehlungen“ zu lesen, um weitere Anleitungen zu erhalten, einschließlich spezifischer Tipps zur Konfiguration von BitLocker, um das Risiko erfolgreicher Angriffe zu minimieren.

Anatomie eines Angriffs

In früheren öffentlichen Berichten war nicht klar, ob ShrinkLocker in erster Linie auf Einzelpersonen oder Unternehmen abzielt. Unsere Untersuchung eines Vorfalls, in den ein Unternehmen des Gesundheitswesens im Nahen Osten verwickelt war, bringt Licht in diesen Aspekt und zeigt, dass die Angreifer es auf ein Unternehmen abgesehen hatten.

Dieser Abschnitt bietet einen Überblick über den speziellen Fall des ShrinkLocker-Angriffs, wobei der Schwerpunkt eher auf der allgemeinen Angriffsmethodik als auf der spezifischen Malware-Variante liegt. Eine detaillierte Malware-Analyse folgt im nächsten Abschnitt.

Die erste Infiltration erfolgte über ein nicht verwaltetes System, ein häufiger Ausgangspunkt für Angriffe. Ungefähr 70 % der von unserem MDR-Team untersuchten Vorfälle begannen auf nicht verwalteten Geräten, was das erhebliche Risiko dieser Systeme verdeutlicht. Zwar ist die genaue Ursache noch unbekannt, doch besteht der Verdacht, dass der Angriff von einem Rechner eines der Auftragnehmer ausging. Dieser Vorfall unterstreicht die wachsende Bedrohung durch Angriffe auf die Lieferkette, bei denen häufig Schwachstellen in Systemen oder Beziehungen Dritter ausgenutzt werden. Während softwarebasierte Angriffe auf die Lieferkette häufig im Mittelpunkt stehen, ist diese Art von Angriffen, die eher auf Beziehungen als auf Software abzielen, weitaus häufiger und wird häufig unterschätzt.

Der Bedrohungsakteur bewegte sich seitlich zu einem Active Directory-Domänencontroller, wobei er gültige Anmeldeinformationen für ein kompromittiertes Konto verwendete. Auf dem Domänencontroller erstellte er mehrere Textdateien (deren Inhalt nicht bekannt ist) und initiierte eine weitere Remote-Sitzung, dieses Mal vom Domänencontroller zu einem Backup-Server. Diese Aktionen deuten darauf hin, dass der Angreifer wahrscheinlich Aufklärungsarbeit leistete oder das Potenzial für eine Datenexfiltration auslotete.

Am folgenden Tag wurden zwei geplante Aufgaben auf dem Active Directory-Domänencontroller erstellt. Beide Aufgaben wurden von demselben Benutzer erstellt, der zuvor auf den Domänencontroller zugegriffen hatte, aber sie wurden unter dem Kontext SYSTEM ausgeführt. Die Gruppenrichtlinieneinstellungen unter der Standard-Domänenrichtlinie wurden so geändert, dass Aufgaben auf jedem mit der Domäne verbundenen Computer erstellt wurden, wodurch eine weitreichende Verbreitung der Ransomware sichergestellt wurde. Interessanterweise wurde wscript.exe und nicht cscript.exe verwendet, um diese Skripte zu starten.

Die erste Aufgabe ADHelathCheck, die an diesem Tag um 21:23 Uhr UTC ausgeführt werden sollte, führte eine Skriptdatei mit dem Namen Check.vbs von einem gemeinsamen Speicherort %SYSVOL%%USERDNSDOMAIN%\Scripts aus. Dieses Skript kopierte das Ransomware-Skript, das sich ebenfalls an dem freigegebenen Speicherort befand, in den Ordner C:\ProgramData\Microsoft\Windows\Templates auf jedem Computer, der der Domäne beitrat.

Die zweite Aufgabe ADHelathAudit, die für zwei Tage später um 9:10 Uhr UTC geplant war, führte das lokal bereitgestellte Ransomware-Skript namens Audit.vbs (MD5: 2b72beb806acd35ba0d566378115346c) aus. Ungefähr 40 Minuten vor Beginn des Verschlüsselungsvorgangs wurde eine weitere RDP-Verbindung vom Gerät des kompromittierten Benutzers zum Domänencontroller hergestellt, wahrscheinlich um den Fortschritt des Angriffs zu überwachen. Der Verschlüsselungsvorgang wurde um 11:45 Uhr UTC abgeschlossen und dauerte etwa 2,5 Stunden.

Dieser Angriff war erfolgreich bei der Verschlüsselung von Systemen mit verschiedenen Betriebssystemen, einschließlich Windows 10, Windows 11, Windows Server 2016 und Windows Server 2019.

Die bei diesem Angriff verwendete ShrinkLocker-Variante scheint eine modifizierte Version des Originalskripts zu sein, die von einem anderen Autor erstellt wurde. Dies ist nicht ungewöhnlich, da verschiedene Bedrohungsakteure die Malware an ihre spezifischen Bedürfnisse und Ziele angepasst und weiterentwickelt haben. Obwohl einige Änderungen zu erwarten sind, wie z. B. Änderungen an der Befehls- und Kontrollinfrastruktur (C2), gibt es bei dieser speziellen Variante einige bemerkenswerte Unterschiede:

• Gezielte Angriffe: Die Einbeziehung einer hartkodierten Prüfung des Domänennamens deutet darauf hin, dass dieser Angriff speziell auf die Organisation abzielte.
• Geänderte Registry-Änderungen: Die Verwendung von „WMIC.exe“ anstelle von „reg.exe add“, um Änderungen an der Registrierung vorzunehmen, deutet auf eine Vorliebe für andere Tools oder Techniken hin, was möglicherweise auf eine andere Qualifikation oder einen anderen Hintergrund hindeutet.
• Inkonsistentes Scripting: Das Vorhandensein von Tippfehlern in den Namen der geplanten Aufgaben und von redundanten Codeabschnitten deutet darauf hin, dass der Bedrohungsakteur möglicherweise kein hochqualifizierter Programmierer war. Dies könnte darauf hindeuten, dass die Malware von einem weniger versierten Angreifer angepasst wurde, möglicherweise eher von einem Einzelkämpfer als von einer hochentwickelten Bedrohungsgruppe.
  

Da die Einstiegshürde für die Nutzung und Modifizierung von ShrinkLocker relativ niedrig ist, ist die Malware für ein breiteres Spektrum von Angreifern zugänglich. Unsere Analyse zeigt, dass die ShrinkLocker-Malware von mehreren einzelnen Bedrohungsakteuren für einfachere Angriffe angepasst wird, anstatt über ein Ransomware-as-a-Service-Modell (RaaS) verbreitet zu werden.