Bitdefender hat einen Dekryptor vorgestellt, mit dem die Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen können.
Das ursprünglich möglicherweise für nützliche Zwecke programmierte und nun modifizierte ShrinkLocker-Tool verändert die Konfigurationen des Windows-Verschlüsselungstools Bitlocker, so dass Opfer nicht mehr auf die Laufwerke eines Systems zugreifen können.
Das Entschlüsselungsprogramm der Bitdefender Labs ist ab sofort kostenlos zum Download frei verfügbar.
Nach einer eingehenden Analyse der Funktionsweise von ShrinkLocker entdeckten die Experten der Bitdefender Labs eine Möglichkeit, um Dateien unmittelbar nach Aufheben der böswillig missbrauchten Schutzmechanismen für mit BitLocker verschlüsselte Laufwerke wiederherzustellen. Dadurch konnten die Experten ein Entschlüsselungsprogramm schreiben.
Einfaches Tool statt komplexer Algorithmen
ShrinkLocker, das im Mai 2024 identifiziert wurde, ist eine einfache, aber effektive Ransomware, welche die BitLocker-Konfigurationen von Windows ändert, um die Laufwerke eines Systems zu verschlüsseln. Im Gegensatz zu den meisten modernen Ransomware-Programmen, die auf ausgefeilten Verschlüsselungsalgorithmen beruhen, verfolgt ShrinkLocker einen sehr einfachen Ansatz. ShrinkLocker ändert die BitLocker-Konfigurationen, um die Laufwerke eines Systems zu verschlüsseln. Die Malware überprüft zunächst, ob Bitlocker auf einem Opfersystem aktiviert ist. Wenn nicht, erfolgt die Installation von Bitlocker und das System wird neu verschlüsselt. Ein per Zufall generiertes Passwort lädt die Malware auf einem von den Angreifern kontrollierten Server hoch. Nach Reboot des Systems fordert der modifizierte Bitlocker den Nutzer auf, dieses ihm unbekannte Passwort zum Entschlüsseln des Laufwerks einzugeben. Auf dem BitLocker-Screen erscheint die Kontaktmail der Angreifer, um gegen Lösegeld einen Dekryptorschlüssel der Angreifer zu erhalten.
Seine Einfachheit macht den Angriff besonders attraktiv für individuell agierende Bedrohungsakteure, die möglicherweise nicht Teil eines größeren Ransomware-as-a-Service (RaaS)-Ökosystems sind. Erste Programmierer von ShrinkLocker haben das Tool möglicherweise vor über einem Jahrzehnt für legale und nützliche Zwecke geschrieben, spätere Hacker das Tool nun für böswillige Absichten zweckentfremdet.
Bitdefender betreibt eines der größten und kontinuierlichen Programme für kostenlose Entschlüsselungslösungen, das Opfern von Ransomware bis heute geschätzte 1,6 Milliarden US-Dollar an Lösegeld eingespart hat. Bis heute hat Bitdefender 33 Dekryptoren veröffentlicht, darunter für GandCrab sowie ein universelles Tool für REvil.
Bewährte Praktiken, um sich gegen Ransomware zu schützen
- Unternehmen müssen ihre Mitarbeiter schulen. Ransomware-Attacken starten mit der Kompromittierung von Zugangsdaten durch Phishing-Emails.
- Der beste Schutz gegen die kontinuierlich bestehende Gefahr ist eine mehrschichtig aufgestellte Abwehr. Um die Angriffsoberfläche zu verkleinern, ist es unerlässlich, gerade Systeme mit kontinuierlicher Anbindung an das Internet zu patchen oder eine Multifaktor-Authentifizierung (MFA) einzurichten. Strenge Zugangskontrollen sowie ein sparsames Exponieren von Systemen an das Internet schließen Zugriffsrisiken präventiv aus.
- Lösungen zum Schutz von Endpunkten wie EDR (Endpoint Detection and Response) und XDR (Extended Detection and Response) erkennen anomales und auffälliges Verhalten im Internet und verkürzen die notwendige Zeit, um Ransomware in Systemen frühzeitig zu erkennen, bevor die Hacker ihre Attacke durchführen.
- Managed-Detection-and-Response (MDR)-Dienste und über sie verfügbare Sicherheitsexperten können internen IT-Sicherheitsteams dabei helfen, Ransomware-Risiken zu minimieren.
(pd/Bitdefender)