Les experts de Kaspersky ont découvert un nouveau ransomware visant les ordinateurs sous Windows. Baptisé ShrinkLocker, le malware s’appuie sur BitLocker, le module de chiffrement intégré par Microsoft. Inauguré en 2007 avec Windows Vista, le module permet aux utilisateurs de protéger leurs données en chiffrant entièrement le disque dur.
Détournée par les cybercriminels, la fonctionnalité facilite les activités d’un ransomware. Comme l’explique Kaspersky, le fait « d’utiliser les propres fonctionnalités du système d’exploitation » est « l’un des meilleurs moyens d’échapper à la détection ».
À lire aussi : Des millions de mails propagent le ransomware Lockbit dans le monde
Une cyberattaque qui s’intéresse à votre version de Windows
Une fois qu’il est parvenu à infecter l’ordinateur de la cible, ShrinkLocker va d’abord se renseigner au sujet de la version de Windows installée sur la machine. Les pirates ont en effet pris l’habitude d’orchestrer leurs attaques uniquement sur certaines versions du système d’exploitation. Si l’ordinateur tourne sous une version antérieure à Windows Vista, le ransomware ne s’attaquera pas aux données. Les informations du disque dur ne seront pas chiffrées et le malware sera automatiquement supprimé.
Dans les autres cas, ShrinkLocker s’appuie sur l’utilitaire Gestion des disques de Windows pour réduire toutes les parties du disque dur qui ne contiennent pas le système d’exploitation. L’espace libéré est utilisé pour réinstaller les fichiers de démarrage, ce qui donne au ransomware la possibilité de manipuler le démarrage de l’OS. Le procédé complique aussi la récupération des données.
Ensuite, le virus exploite Bitlocker pour chiffrer les données stockées. Il désactive les protections intégrées pour sécuriser la clé de chiffrement BitLocker, les supprime, puis installe ses propres protections. Le malware se débarrasse de l’intégralité des protecteurs par défaut, comme les mots de passe, les clés de récupération, et les dispositifs de démarrage sécurisé qui permettent au propriétaire de récupérer l’accès aux données chiffrées. Il génère enfin une clé de cryptage de 64 caractères. Pour conclure l’attaque, le ransomware force le système à s’arrêter. Pour Kaspersky, il est presque impossible pour un utilisateur de parvenir à récupérer l’accès aux fichiers par le biais de Bitlocker.
Les cybercriminels glissent une adresse mail de contact dans en guise d’étiquette au sein des nouvelles partitions de démarrage. C’est par le biais de cette adresse que les victimes sont invitées à négocier la clé de chiffrement pour récupérer l’accès à leurs données.
Des tactiques qui s’affinent
Selon Kaspersky, l’existence de ShrinkLocker est « la preuve que les attaquants affinent constamment leurs tactiques pour échapper à la détection ». Cette nouvelle souche de ransomware a été utilisée contre des entreprises et des entités gouvernementales au Mexique, en Indonésie et en Jordanie.
Ce n’est pas la première fois que Bitlocker est détourné dans le cadre d’activités criminelles. Fin 2022, Microsoft a en effet découvert que des pirates iraniens utilisaient déjà le module pour lancer des attaques par ransomware. Peu après, une entreprise russe a d’ailleurs perdu l’accès à ses données lors d’une cyberattaque exploitant Bitlocker, rappelle ArsTechnica.
Par ailleurs, il n’est pas rare qu’une fonction de Windows soit utilisée comme arme par les cybercriminels. Récemment, Microsoft s’est rendu compte que des hackers se servaient de la fonctionnalité Quick Assist pour déployer des ransomwares. Deux mois plus tôt, des pirates russes exploitaient les gestionnaires de protocole URI « search-ms: » et le protocole d’application « search: » pour voler des données d’identification.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Kaspersky
