ShrinkLocker (+ Déchiffreur) : d'ami à ennemi, et vice versa

Imaginez une attaque de ransomware si ancienne qu'elle utilise VBScript et une fonction intégrée de Windows pour le chiffrement. ShrinkLocker (découvert en mai 2024) est un ransomware étonnamment simple mais efficace qui utilise des reliques du passé.

Contrairement à la plupart des rançongiciels modernes, qui s'appuient sur des algorithmes de chiffrement sophistiqués, ShrinkLocker adopte une approche plus simple et moins conventionnelle. ShrinkLocker modifie les configurations BitLocker pour chiffrer les disques d'un système. Il vérifie d'abord si BitLocker est activé et, si ce n'est pas le cas, l'installe. Ensuite, il rechiffre le système à l'aide d'un mot de passe généré de manière aléatoire. Ce mot de passe unique est téléchargé sur un serveur contrôlé par l'attaquant. Après le redémarrage du système, l'utilisateur est invité à saisir le mot de passe pour déverrouiller le disque chiffré. L'adresse électronique du pirate s'affiche sur l'écran BitLocker, invitant les victimes à payer une rançon pour obtenir la clé de déchiffrement.

En utilisant une combinaison d'objets de stratégie de groupe (GPO) et de tâches planifiées, il peut chiffrer plusieurs systèmes au sein d'un réseau en seulement 10 minutes par appareil. Par conséquent, il est possible de compromettre complètement un domaine avec très peu d'efforts, comme l'a démontré l'une de nos enquêtes. Cette simplicité rend l'attaque particulièrement attrayante pour les acteurs individuels qui ne font pas nécessairement partie d'un écosystème plus large de ransomware-as-a-service (RaaS).

En enquêtant sur ShrinkLocker, nous avons découvert une vérité surprenante : ce code a peut-être été écrit il y a plus de dix ans, probablement à des fins bénignes. Il s'agit d'une capsule temporelle numérique qui a été réaffectée à des fins malveillantes. Bien que d'autres chercheurs en sécurité aient analysé ShrinkLocker, leurs conclusions ne parviennent pas toujours à décrire avec précision son comportement dans les environnements réseau modernes. Par exemple, même le nom du logiciel malveillant, « ShrinkLocker », est trompeur, car il ne réduit (shrink) pas réellement les partitions sur les systèmes d'exploitation actuels.

L'une de nos plus grandes préoccupations était de savoir si ce vecteur d'attaque pourrait devenir une nouvelle tendance. Après tout, il s'agit d'un concept relativement simple que même un programmeur peu expérimenté peut mettre en œuvre. Heureusement, notre enquête a révélé une bonne nouvelle : il est possible de développer un déchiffreur et même de configurer BitLocker pour atténuer ces attaques. En partageant nos découvertes, nous espérons aider les praticiens de la sécurité et les chercheurs à comprendre et à atténuer les risques associés à ce type d'attaque.

Déchiffrement de ShrinkLocker

Au fur et à mesure que les ransomwares évoluent, les attaquants exploitent des techniques avancées, notamment des fuites de code source provenant de groupes professionnels de ransomwares en tant que service et des langages de programmation modernes tels que Rust et Go. Il est donc de plus en plus difficile de développer des outils de déchiffrement uniquement par rétro-ingénierie. Toutefois, dans le cas de ShrinkLocker, nous avons identifié une fenêtre d'opportunité spécifique pour la récupération des données immédiatement après le retrait des protecteurs des disques chiffrés par BitLocker. Nous avons décidé de mettre ce déchiffreur à la disposition du public et de l'ajouter à notre collection de 32 outils de déchiffrement déjà publiés.

1. Téléchargez l'outil de décryptage à partir de https://download.bitdefender.com/am/malware_removal/BDShrinkLockerUnlocker.exe
2. Allumez votre ordinateur et attendez que l'écran de récupération BitLocker s'affiche. Lorsque vous êtes invité à saisir la clé de récupération BitLocker, appuyez sur la touche Echap pour passer en mode de récupération BitLocker.
3. Sur l'écran de récupération BitLocker, sélectionnez « Skip this drive » (Ignorer ce lecteur).
4. Choisissez « Dépannage » puis « Options avancées ».
5. Sélectionnez « Invite de commande » dans le menu des options avancées.
6. Assurez-vous d'avoir préparé le fichier BDShrinkLockerUnlocker.exe. Vous pouvez le transférer sur une clé USB et la brancher sur votre ordinateur. Dans l'invite de commande, naviguez jusqu'à la lettre du lecteur où se trouve le décrypteur (par exemple, D:).
7. Tapez la commande suivante et appuyez sur Entrée : D:\BDShrinkLockerUnlocker.exe Remarque : vous pouvez déconnecter la clé USB après avoir lancé le décrypteur.
8. Le processus de décryptage peut prendre un certain temps, en fonction du matériel de votre système et de la complexité du cryptage. Soyez patient. Une fois le décryptage terminé, le décrypteur déverrouille automatiquement le lecteur et désactive l'authentification par carte à puce.
9. Après le redémarrage, votre ordinateur devrait démarrer normalement.

Les outils de déchiffrement sont par nature réactifs, souvent limités à des périodes ou à des versions de logiciels spécifiques. En outre, s'ils permettent de rétablir l'accès aux données cryptées, ils n'empêchent pas les acteurs de la menace de réessayer avec plus de succès. Nous vous recommandons vivement de consulter notre section Recommandations pour obtenir des conseils supplémentaires, y compris des conseils spécifiques sur la configuration de BitLocker afin de minimiser le risque d'attaques réussies.

Anatomie d'une attaque

Les rapports publics précédents n'indiquaient pas clairement si ShrinkLocker ciblait principalement les particuliers ou les entreprises. Notre enquête sur un incident impliquant une entreprise de soins de santé au Moyen-Orient a permis de faire la lumière sur cet aspect, en révélant que les attaquants visaient une entité commerciale.

La présente section donne un aperçu du cas spécifique de l'attaque ShrinkLocker, en se concentrant sur la méthodologie générale de l'attaque plutôt que sur la variante spécifique du logiciel malveillant utilisée. Une analyse détaillée des logiciels malveillants est présentée dans la section suivante.

L'infiltration initiale s'est produite sur un système non géré, un point de départ courant pour les attaques. Environ 70 % des incidents examinés par notre équipe MDR ont commencé sur des appareils non gérés, ce qui met en évidence le risque important posé par ces systèmes. Bien que la source exacte reste inconnue, on soupçonne que l'attaque provient d'une machine appartenant à l'un des contractants. Cet incident souligne la menace croissante des attaques contre la chaîne d'approvisionnement, qui exploitent souvent les vulnérabilités des systèmes ou des relations de tiers. Alors que les attaques de la chaîne d'approvisionnement basées sur des logiciels sont souvent mises en avant, ce type d'attaque, qui cible les relations plutôt que les logiciels, est beaucoup plus courant et souvent sous-estimé.

L'auteur de la menace s'est déplacé latéralement vers un contrôleur de domaine Active Directory en utilisant des informations d'identification valides pour un compte compromis. Sur le contrôleur de domaine, il a créé plusieurs fichiers texte (dont le contenu est inconnu) et a lancé une autre session à distance, cette fois du contrôleur de domaine vers un serveur de sauvegarde. Ces actions suggèrent que l'attaquant était probablement en train d'effectuer une reconnaissance ou d'évaluer le potentiel d'exfiltration de données.

Le lendemain, deux tâches planifiées ont été créées sur le contrôleur de domaine Active Directory. Ces deux tâches ont été créées par le même utilisateur que celui qui avait accédé au contrôleur de domaine, mais elles ont été exécutées dans le contexte SYSTEM. Les préférences de la stratégie de groupe sous la stratégie de domaine par défaut ont été modifiées pour créer des tâches sur chaque machine reliée à un domaine, ce qui a permis de déployer le ransomware à grande échelle. Il est intéressant de noter que c'est wscript.exe et non cscript.exe qui a été utilisé pour lancer ces scripts.

La première tâche ADHelathCheck, programmée pour s'exécuter à 21 h 23 UTC ce jour-là, a exécuté un fichier script nommé Check.vbs à partir d'un emplacement partagé %SYSVOL%%USERDNSDOMAIN%\Scripts. Ce script a copié le script du ransomware, également situé dans l'emplacement partagé, dans le dossier C:\NProgramData\NMicrosoft\NWindows\NTemplates sur chaque machine connectée au domaine.

La seconde tâche ADHelathAudit, programmée deux jours plus tard à 9:10 AM UTC, a exécuté le script de ransomware déployé localement et nommé Audit.vbs (MD5 : 2b72beb806acd35ba0d566378115346c). Environ 40 minutes avant le début du processus de chiffrement, une autre connexion RDP a été établie entre l'appareil de l'utilisateur compromis et le contrôleur de domaine, probablement pour surveiller la progression de l'attaque. La tâche de chiffrement s'est achevée à 11 h 45 (UTC) et a duré environ 2,5 heures.

Cette attaque a réussi à chiffrer des systèmes exécutant divers systèmes d'exploitation, notamment Windows 10, Windows 11, Windows Server 2016 et Windows Server 2019.

La variante de ShrinkLocker utilisée dans cette attaque semble être une version modifiée du script original, créée par un auteur différent. Cela n'est pas rare, car divers acteurs de la menace ont adapté et fait évoluer le logiciel malveillant pour répondre à leurs besoins et objectifs spécifiques. Si certains changements sont prévisibles, comme la modification de l'infrastructure de commande et de contrôle (C2), cette variante présente quelques différences notables :

• Attaque ciblée : L'inclusion d'une vérification codée en dur pour le nom de domaine indique que cette attaque visait spécifiquement l'organisation.
• Modifications du registre : L'utilisation de « WMIC.exe » au lieu de « reg.exe add » pour apporter des modifications au registre démontre une préférence pour des outils ou des techniques différents, ce qui pourrait indiquer un ensemble de compétences ou un contexte différent.
• Script incohérent : La présence de fautes de frappe dans les noms des tâches programmées et de sections de code redondantes suggère que l'auteur de la menace n'était peut-être pas un programmeur très compétent. Cela pourrait indiquer que le logiciel malveillant a été adapté par un attaquant moins sophistiqué, peut-être un loup solitaire plutôt qu'un groupe de menace sophistiqué.
  

La barrière à l'entrée pour utiliser et modifier ShrinkLocker étant relativement faible, cela le rend accessible à un plus grand nombre d'attaquants. Notre analyse montre que le logiciel malveillant ShrinkLocker est adapté par plusieurs acteurs individuels pour des attaques plus simples, plutôt que d'être distribué par le biais d'un modèle de ransomware en tant que service (RaaS).