Nuevo ransomware utiliza la herramienta de seguridad de Microsoft para cifrar datos corporativos

Kaspersky detectó ataques contra empresas industriales, fabricantes de vacunas y
organizaciones gubernamentales.

14 de agosto de 2024
Kaspersky identificó nuevos ataques de ransomware que utilizan BitLocker, una herramienta
legítima de Microsoft, para intentar cifrar archivos corporativos. Los estafadores eliminan las
opciones de recuperación, lo que impide que se restauren los archivos, y utilizan un script
malicioso con una nueva característica: adaptarse a diferentes versiones de Windows. El
objetivo de los ciberdelincuentes son las empresas del sector industrial, de fabricación de
vacunas y organizaciones gubernamentales. Estos ataques conocidos como “ShrinkLocker” se
detectaron en México, Indonesia y Jordania.
BitLocker es una herramienta de seguridad de Microsoft incluida en el sistema operativo de Windows.
Su función principal es proteger los datos almacenados en el disco duro del ordenador, impidiendo que
personas no autorizadas tengan acceso a esa información. Al cifrar los archivos, el delincuente
transforma los datos almacenados en un código secreto que hace imposible que el usuario víctima
acceda a ellos.
¿Cómo se produce el ataque?
Los ciberdelincuentes utilizan VBScript, un lenguaje de programación utilizado para automatizar tareas
en ordenadores Windows, para crear un script malicioso. La novedad de estos ataques es que
comprueban la versión actual instalada del sistema y activan las funcionalidades de BitLocker en
consecuencia. De este modo, se cree que el código puede infectar tanto sistemas nuevos como
antiguos, incluidas las versiones desde Windows Server 2008.
Si la versión del sistema es apta para el ataque, el script altera su configuración para bloquear el
acceso del usuario víctima. Los estafadores también eliminan las medidas de protección que soportan a
BitLocker, con lo que se aseguran de que la persona no pueda recuperar los archivos.
El paso final del ataque lleva al apagado forzado del sistema, dejando el siguiente mensaje en la
pantalla: “No hay más opciones de recuperación de BitLocker en su ordenador”.

El mensaje que se muestra al usuario tras un cierre forzado del sistema

“Lo que es especialmente preocupante en este caso es el hecho de que BitLocker, diseñado
originalmente para mitigar los riesgos de robo o exposición de datos, haya sido reutilizado por
delincuentes con fines maliciosos. Es una cruel ironía que una medida de seguridad se haya convertido
en una amenaza de esta manera. Para las empresas que utilicen la herramienta, es crucial garantizar
contraseñas fuertes y un almacenamiento seguro de las claves de recuperación. También son
esenciales las copias de seguridad periódicas, mantenidas offline y comprobadas”, explica Cristian
Souza, especialista en Respuesta a Incidentes del Equipo Global de Respuesta a Emergencias
(GERT) de Kaspersky.
Los expertos de Kaspersky recomiendan las siguientes medidas
● Utilizar un software de seguridad robusto que esté correctamente configurado para detectar
amenazas que intenten utilizar BitLocker. Implemente una solución que pueda buscar
amenazas de forma proactiva.
● Limitar los privilegios de los usuarios a la red e impedir la activación no autorizada de
funciones de cifrado o la modificación de claves de registro.
● Habilitar el registro y la supervisión del tráfico de red, ya que los sistemas infectados
pueden transmitir contraseñas o claves a dominios de estafadores.
● Supervisar los eventos de ejecución de VBScript y PowerShell, almacenando los scripts y
comandos registrados en un repositorio externo para retener la actividad sospechosa.
El análisis técnico detallado de estos incidentes está disponible en Securelist.
Para más información sobre seguridad, visite el blog de Kaspersky.
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de
mil millones dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques
dirigidos, la profunda experiencia en inteligencia de amenazas y seguridad de Kaspersky se está
continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a
empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portafolio
de productos de seguridad de la empresa incluye su reputada solución de protección para endpoints,
junto con una serie de soluciones y servicios de seguridad especializados, así como soluciones Cyber
Immune para combatir las sofisticadas y cambiantes amenazas digitales. Ayudamos a más de 220.000
clientes corporativos a proteger lo que más valoran. Obtenga más información en
https://latam.kaspersky.com