New ShrinkLocker ransomware decryptor recovers BitLocker password

Bitdefenderは、Windowsに内蔵されたBitLockerドライブ暗号化ツールを使用して被害者のファイルをロックする「ShrinkLocker」ランサムウェア株用の復号化ツールをリリースした。

サイバーセキュリティ企業Kasperskyの研究者によって2024年5月に発見されたShrinkLockerは、他のランサムウェアファミリーのような洗練性はないが、攻撃のダメージを最大化できる機能を統合している。

Bitdefenderの分析によると、このマルウェアはVBScriptを使用し、良性の10年前のコードから再利用されたようで、一般的に時代遅れのテクニックを活用している。

研究者は、ShrinkLockerのオペレーターは、冗長なコードやタイプミスを使用し、テキストファイルの形で偵察ログを残し、容易に入手可能なツールに依存している、低スキルのようだと指摘しています。

しかし、この脅威者は企業をターゲットとした攻撃を成功させている。

Bitdefenderは本日発表したレポートの中で、ある医療機関に対するShrinkLocker攻撃を取り上げ、攻撃者はバックアップを含むネットワーク全体のWindows 10、Windows 11、およびWindows Serverデバイスを暗号化しました。

暗号化プロセスは 2.5 時間で終了し、組織は重要なシステムへのアクセスを失い、患者ケアの提供が困難になる可能性がありました。

Bitdefenderは、ShrinkLockerの被害者がファイルを復元するのに役立つ無料の復号化ツールをリリースしています。

ShrinkLocker の攻撃

ShrinkLockerは、従来のランサムウェアのようなカスタム暗号化実装を使用する代わりに、攻撃者に送信されるランダムに生成されたパスワードを持つWindows BitLockerを使用します。

このマルウェアはまず、Windows Management Instrumentation(WMI)クエリを実行して、ターゲット・システムでBitLockerが利用可能かどうかをチェックし、存在しない場合はツールをインストールする。

次に、誤ってドライブが暗号化されないようにするデフォルトの保護をすべて削除する。スピードを上げるために、’-UsedSpaceOnly’ フラグを使用し、BitLocker がディスク上の占有スペースのみを暗号化するようにします。

ランダムなパスワードは、ネットワークトラフィックとメモリ使用量のデータを使用して生成されるため、ブルートフォース可能なパターンはありません。

また、ShrinkLockerスクリプトは、すべてのBitLockerプロテクターを削除して再設定し、暗号化キーの復元をより困難にします。

「プロテクタとは、BitLockerが暗号化キーを保護するために使用するメカニズムです。プロテクタには、TPM のようなハードウェア・プロテクタや、パスワードやリカバリ・キーのようなソフトウェア・プロテクタがあります。このスクリプトは、プロテクターをすべて削除することで、被害者がデータを復元したり、ドライブを復号化したりすることを不可能にすることを目的としています」とBitdefenderは説明します。

増殖のために、ShrinkLockerはグループ・ポリシー・オブジェクト(GPO)とスケジュールされたタスクを使用し、Active Directoryドメイン・コントローラのグループ・ポリシー設定を変更し、侵害されたネットワーク上のすべてのドライブの暗号化を確実にするために、ドメインに接続されたすべてのマシンのタスクを作成します。

The ShrinkLocker attack chain
ShrinkLockerの攻撃チェーン
ソースはこちら:Bitdefender

再起動後、被害者は脅威者の連絡先の詳細も記載された BitLocker パスワード画面を見ます。

BitLocker screen served to the victim
被害者に提供される BitLocker 画面
出典:Bitdefender:Bitdefender

Bitdefender が復号化ツールをリリース

Bitdefenderは、ShrinkLockerがBitLockerのプロテクターを削除して再構成する順序を逆転させる復号化ツールを作成し、公開した

研究者によると、「BitLockerで暗号化されたディスクからプロテクターが削除された直後に、データ復旧のための特定の機会の窓」を特定し、攻撃者が設定したパスワードを復号化して復旧させることができるという。

これにより、暗号化プロセスを逆行させ、ドライブを以前の暗号化されていない状態に戻すことが可能になる。

ShrinkLockerの被害者は、このツールをダウンロードし、影響を受けたシステムに接続されたUSBドライブから使用することができる。BitLocker 復元画面が表示されたら、ユーザーは BitLocker 復元モードに入り、すべてのステップをスキップして詳細オプションに進み、復号化ツールを起動できるコマンド・プロンプトを表示させる。

BitLocker password recovery screen
Decryptor が ShrinkLocker の BitLocker パスワードの復元に成功
ソースはこちら:ビットディフェンダー

研究者は、データの復号化にかかる時間はシステムのハードウェアや暗号化の複雑さによって異なり、時間がかかる可能性があると警告している。

復号化が完了すると、ドライブのロックが解除され、スマートカードベースの認証が無効になる。

Bitdefenderは、この復号化ツールはWindows 10、Windows 11、および最近のWindows Serverバージョンでのみ機能し、ランサムウェア攻撃の直後に使用した場合に最も効果的であると指摘しています。

残念ながら、この方法は他の方法で作成された BitLocker パスワードを復元することはできません。