Kaspersky Lab, la multinationale russe spécialisée en sécurité informatique, a récemment signalé l’émergence d’un nouveau type de ransomware nommé ShrinkLocker. Contrairement aux ransomwares traditionnels qui exigent une rançon pour restaurer l’accès aux fichiers cryptés, ShrinkLocker se distingue par sa vocation destructrice, utilisant BitLocker de Microsoft pour chiffrer et rendre irrécupérables les données des victimes.
ShrinkLocker : la méthode d’attaque du ransomware
ShrinkLocker exploite la fonction BitLocker, un outil de chiffrement fourni avec les systèmes d’exploitation Windows pour crypter les fichiers des entreprises ciblées. Les attaquants utilisent un script malveillant écrit en VBScript pour détecter la version de Windows sur la machine visée. Si le système est vulnérable, le script active BitLocker pour chiffrer tous les lecteurs, puis supprime les options de récupération pour empêcher la restauration des fichiers.
Les attaques initiales de ShrinkLocker ont été observées dans des entreprises de fabrication d’acier et de vaccins, ainsi qu’au sein d’une entité gouvernementale, principalement au Mexique, en Indonésie et en Jordanie.
Comment ShrinkLocker fonctionne
Le script malveillant de ShrinkLocker vérifie la version du système d’exploitation et modifie la configuration de démarrage de l’ordinateur. Il crée ensuite une nouvelle partition de démarrage distincte et supprime les protections de récupération de BitLocker, rendant impossible la récupération des données chiffrées sans formater le système avant.
Le script envoie les informations système et la clé de chiffrement à un serveur contrôlé par les cybercriminels avant d’effacer les journaux et les fichiers qui pourraient aider à enquêter sur l’attaque. Finalement, le malware force l’arrêt du système, laissant la victime avec un écran BitLocker indiquant : « Il n’y a plus d’options de récupération BitLocker sur votre PC. »
Prévention et sécurité
ShrinkLocker illustre une utilisation malveillante d’un outil de sécurité conçu pour protéger les données contre le vol. Pour se protéger contre ce type de menace, il est recommandé de maintenir le système d’exploitation à jour avec les dernières mises à jour de sécurité, d’utiliser des logiciels de sécurité robustes et d’éviter les logiciels piratés.
Les entreprises peuvent également renforcer leur sécurité en limitant les privilèges des utilisateurs, en activant la journalisation et la surveillance du trafic réseau, et en effectuant des sauvegardes régulières de leurs données. Cristian Souza, spécialiste de la réponse aux incidents chez Kaspersky, souligne l’importance de mots de passe forts et du stockage sécurisé des clés de récupération de BitLocker.
