Decryptor Gratis Dirilis untuk Korban Ransomware ShrinkLocker Berbasis BitLocker
Perusahaan keamanan siber asal Rumania, Bitdefender, telah merilis dekripsi gratis untuk membantu korban memulihkan data yang dienkripsi menggunakan ransomware ShrinkLocker.
Dekripsi ini merupakan hasil analisis mendalam terhadap cara kerja ShrinkLocker, yang memungkinkan para peneliti menemukan "jendela peluang spesifik untuk pemulihan data segera setelah penghapusan pelindung dari disk yang dienkripsi BitLocker."
ShrinkLocker pertama kali didokumentasikan pada Mei 2024 oleh Kaspersky, yang menemukan penggunaan alat BitLocker milik Microsoft untuk mengenkripsi file sebagai bagian dari serangan pemerasan yang menargetkan Meksiko, Indonesia, dan Yordania.
Bitdefender yang menyelidiki insiden ShrinkLocker yang menargetkan sebuah perusahaan kesehatan yang tidak disebutkan namanya di Timur Tengah, mengatakan bahwa serangan itu kemungkinan berasal dari mesin milik seorang kontraktor, yang sekali lagi menyoroti bagaimana aktor ancaman semakin menyalahgunakan hubungan yang tepercaya untuk menyusup ke rantai pasokan. Pada tahap berikutnya, aktor ancaman bergerak secara lateral ke pengendali domain Active Directory dengan memanfaatkan kredensial yang sah untuk akun yang dikompromikan, diikuti dengan pembuatan dua tugas terjadwal untuk mengaktifkan proses ransomware.
Sementara tugas pertama menjalankan skrip Visual Basic ("Check.vbs") yang menyalin program ransomware ke setiap mesin yang tergabung dalam domain, tugas kedua—yang dijadwalkan dua hari kemudian—menjalankan ransomware yang terpasang secara lokal ("Audit.vbs").
Serangan itu, kata Bitdefender, berhasil mengenkripsi sistem yang menjalankan Windows 10, Windows 11, Windows Server 2016, dan Windows Server 2019. Varian ShrinkLocker yang digunakan disebut sebagai versi modifikasi dari versi asli.
Dijelaskan sebagai sederhana namun efektif, ransomware ini menonjol karena ditulis dalam VBScript, sebuah bahasa skrip yang menurut Microsoft akan dihentikan pada paruh kedua 2024. Selain itu, alih-alih mengimplementasikan algoritma enkripsi sendiri, malware ini memanfaatkan BitLocker untuk mencapai tujuannya.
Skrip ini dirancang untuk mengumpulkan informasi tentang konfigurasi sistem dan sistem operasi, setelah itu mencoba memeriksa apakah BitLocker sudah terinstal di mesin Windows Server, dan jika tidak, menginstalnya menggunakan perintah PowerShell dan kemudian melakukan "restart paksa" menggunakan Win32Shutdown.
Namun Bitdefender mencatat adanya bug yang menyebabkan permintaan ini gagal dengan kesalahan "Privilege Not Held", yang menyebabkan VBScript terjebak dalam loop tak terbatas karena percobaan restart yang gagal.
"Bahkan jika server di-reboot secara manual (misalnya oleh administrator yang tidak curiga), skrip ini tidak memiliki mekanisme untuk melanjutkan eksekusinya setelah reboot, yang berarti serangan dapat terhenti atau dicegah," kata Martin Zugec, direktur solusi teknis di Bitdefender.
Ransomware ini dirancang untuk menghasilkan kata sandi acak yang berasal dari informasi spesifik sistem, seperti lalu lintas jaringan, memori sistem, dan pemanfaatan disk, yang digunakan untuk mengenkripsi drive sistem.
Kata sandi unik ini kemudian diunggah ke server yang dikendalikan oleh penyerang. Setelah restart, pengguna diminta untuk memasukkan kata sandi untuk membuka kunci drive yang terenkripsi. Layar BitLocker juga dikonfigurasi untuk menampilkan alamat email penyerang untuk memulai pembayaran sebagai ganti kata sandi.
Itu belum semuanya. Skrip ini melakukan beberapa modifikasi pada Registry untuk membatasi akses ke sistem dengan menonaktifkan koneksi RDP jarak jauh dan mematikan login berbasis kata sandi lokal. Sebagai bagian dari upaya pembersihannya, skrip ini juga menonaktifkan aturan Windows Firewall dan menghapus file audit. Bitdefender juga menyoroti bahwa nama ShrinkLocker itu menyesatkan karena fungsionalitas yang menjadi nama tersebut terbatas pada sistem Windows lama dan tidak benar-benar memperkecil partisi pada sistem operasi saat ini.
"Dengan menggunakan kombinasi Objek Kebijakan Grup (GPO) dan tugas terjadwal, ransomware ini dapat mengenkripsi beberapa sistem dalam jaringan dalam waktu hanya 10 menit per perangkat," ujar Zugec. "Akibatnya, kompromi lengkap terhadap domain dapat dicapai dengan usaha yang sangat sedikit."
"Pemantauan proaktif terhadap log acara Windows tertentu dapat membantu organisasi mengidentifikasi dan merespons potensi serangan BitLocker, bahkan di tahap awal, seperti saat penyerang menguji kemampuan enkripsi mereka."
"Dengan mengonfigurasi BitLocker untuk menyimpan informasi pemulihan di Active Directory Domain Services (AD DS) dan menegakkan kebijakan "Jangan aktifkan BitLocker sampai informasi pemulihan disimpan ke AD DS untuk drive sistem operasi," organisasi dapat secara signifikan mengurangi risiko serangan berbasis BitLocker."