shrinklocker

ShrinkLocker est un ransomware récent qui cible un élément crucial de Windows : BitLocker, une fonctionnalité légitime d’encryptage de disque. Contrairement à de nombreux ransomwares qui utilisent leurs propres algorithmes de chiffrement, ShrinkLocker tire parti de BitLocker pour verrouiller les systèmes victimes. Cela complique les efforts de déchiffrement et démontre l’évolution des méthodes utilisées par les cybercriminels pour verrouiller les données.

Qu’est-ce que ShrinkLocker ?

ShrinkLocker exploite BitLocker pour créer une partition de démarrage sécurisée, rendant les données inaccessibles sans le paiement d’une rançon. Ce ransomware se distingue par sa capacité à abuser d’outils déjà présents dans le système d’exploitation, une technique connue sous le nom de « living-off-the-land ». En ciblant les infrastructures de chiffrement existantes comme BitLocker, ShrinkLocker contourne les mesures de sécurité conventionnelles, en rendant presque impossible la récupération des fichiers sans une clé de déchiffrement spécifique.

Cette méthode est non seulement dévastatrice pour les victimes, mais elle complexifie également le travail des équipes de cybersécurité, car elle nécessite une maîtrise approfondie des mécanismes internes de Windows pour comprendre et contrer ces attaques.

Fonctionnement de ShrinkLocker

ShrinkLocker commence par une reconnaissance approfondie du système. Il identifie l’OS de la machine cible grâce à des requêtes de Windows Management Instrumentation (WMI). Si l’OS correspond à une version compatible (comme Windows 10 ou 11), le malware peut alors activer BitLocker, et verrouiller les volumes de données sous une couche d’encryptage.

Une autre particularité de ShrinkLocker est son absence d’exigence de rançon immédiate. Contrairement à d’autres ransomwares qui affichent une demande dès que les fichiers sont encryptés, ShrinkLocker laisse peu d’indications sur comment contacter les pirates. Ce comportement suggère que les auteurs cherchent avant tout à perturber ou détruire les données plutôt qu’à obtenir un gain financier rapide.

Techniques de discrétion et évasion

Pour passer inaperçu, ShrinkLocker modifie des clés de registre critiques liées à des fonctionnalités comme Remote Desktop Protocol (RDP) et la Trusted Platform Module (TPM). Ces modifications lui permettent de verrouiller les connexions à distance et de forcer l’authentification par carte à puce, ce qui renforce son contrôle sur le système infecté. Ces actions visent à rendre la récupération des fichiers plus difficile même pour les administrateurs système expérimentés.

En utilisant des scripts comme VBScript, ShrinkLocker exécute des commandes qui le connectent à des serveurs externes, potentiellement pour transférer des informations sensibles ou envoyer des clés de déchiffrement aux attaquants. Cependant, les experts n’ont pas encore pu identifier précisément l’origine des attaques.

Impact global et exemples d’attaques

Depuis son apparition en 2024, ShrinkLocker a touché plusieurs entreprises, mais ses attaques sont encore mal comprises. Des incidents majeurs ont été signalés dans des institutions comme les hôpitaux et des fournisseurs d’infrastructures critiques, provoquant des interruptions de services vitaux. Les ransomwares utilisant BitLocker ne sont pas nouveaux, mais ShrinkLocker introduit une nouvelle sophistication dans cette tactique.

Un exemple frappant est l’attaque contre un hôpital en Belgique en 2021, où plus de 100 To de données ont été encryptés. Des retards dans les opérations chirurgicales ont forcé les patients à être redirigés vers d’autres hôpitaux. Ce type d’attaque montre à quel point les infrastructures critiques restent vulnérables aux ransomwares ciblant BitLocker.

Comment se protéger contre ShrinkLocker ?

Face à ShrinkLocker, les entreprises doivent mettre en place des défenses robustes pour limiter l’impact potentiel d’une attaque. Voici quelques bonnes pratiques :

  1. Configurer correctement les systèmes de protection des terminaux : Utiliser des solutions de protection avancées capables de détecter les comportements suspects avant que l’encryptage ne commence.
  2. Limitation des privilèges utilisateurs : Restreindre les droits d’accès pour empêcher les utilisateurs non autorisés d’activer ou de modifier des fonctionnalités de chiffrement comme BitLocker.
  3. Surveillance des scripts et commandes : Capturer les événements liés à l’exécution de VBScript et PowerShell, afin de conserver une trace des activités malveillantes, même si les journaux locaux sont effacés.
  4. Sauvegardes régulières : Effectuer des sauvegardes fréquentes et les stocker hors ligne pour éviter qu’elles ne soient corrompues ou chiffrées par des ransomwares.
  5. Surveillance du trafic réseau : Activer la journalisation et le suivi du trafic pour détecter tout transfert suspect de données ou de clés vers des serveurs malveillants.

Pourquoi ShrinkLocker est-il difficile à déjouer ?

Le recours à BitLocker rend ShrinkLocker particulièrement difficile à contrer. Les méthodes de déchiffrement classiques ne fonctionnent pas contre cet outil intégré à Windows. Les experts en sécurité, y compris ceux de Kaspersky et de Splunk, recommandent des solutions de détection proactives qui peuvent repérer l’activité malveillante avant que BitLocker ne soit activé. En outre, l’absence de contact direct avec les attaquants rend la négociation pour récupérer les données très compliquée.

L’avenir des ransomwares

ShrinkLocker marque une nouvelle étape dans l’évolution des ransomwares en abusant des outils légitimes pour causer des dommages massifs. Ce ransomware complexe met en lumière les failles dans l’utilisation de solutions de chiffrement intégrées et souligne l’importance de mettre en place des protections avancées. Pour les entreprises, il est crucial de revoir leurs pratiques de sécurité et de se préparer à des attaques plus sophistiquées comme ShrinkLocker.

Avec l’évolution rapide des cybermenaces, il est essentiel de rester informé des nouvelles techniques utilisées par des malwares comme ShrinkLocker et de renforcer continuellement les mesures de sécurité.

A lire également