s1178-shrinklocker

# ShrinkLocker > Tipo: **malware** · S1178 · [MITRE ATT&CK](https://attack.mitre.org/software/S1178) ## Descrição [[s1178-shrinklocker|ShrinkLocker]] é um script malicioso baseado em VBS que aproveita o aplicativo legítimo BitLocker - a ferramenta de criptografia de disco nativa do Windows - para criptografar arquivos em sistemas das vítimas e exigir resgaté. O [[s1178-shrinklocker|ShrinkLocker]] funciona utilizando o BitLocker para criptografar os drives do sistema e, em seguida, renomeia os drives afetados com o endereço de e-mail de contato do adversário para facilitar a comunicação para pagamento do resgaté. Foi identificado pela Kaspersky em 2024 em ataques contra organizações governamentais, manufatura de aço e vacinas no México, Indonésia e Jordânia. A abordagem de usar o BitLocker como mecanismo de criptografia é altamente inovadora: em vez de implementar um algoritmo de criptografia próprio, o [[s1178-shrinklocker|ShrinkLocker]] aproveita uma ferramenta nativa do Windows que é confiável e geralmente não monitorada por soluções de segurança. Isso significa que as ações do malware - ativar o BitLocker, modificar a configuração de inicialização e reiniciar o sistema - podem ser interpretadas como operações administrativas legítimas por ferramentas de segurança que não correlacionam eventos em contexto. O script realiza uma série de ações destrutivas e de evasão: limpa logs de eventos do Windows ([[t1070-001-clear-windows-event-logs|T1070.001]]), desabilita o firewall do sistema ([[t1562-004-disable-or-modify-system-firewall|T1562.004]]) e ferramentas de segurança ([[t1562-001-disable-or-modify-tools|T1562.001]]), modifica o registro para alterar configurações de inicialização, e força a reinicialização do sistema após a criptografia. A chave de recuperação do BitLocker é enviada para o servidor C2 via serviço web ([[t1102-web-service|T1102]]), garantindo que apenas os atacantes possam descriptografar. **Plataformas:** Windows ## Attack Flow ```mermaid graph TB A["🎯 Acesso Inicial Desconhecido - provavelmente acesso remoto / phishing"] --> B["📜 Execução VBScript Disk.vbs executado via WMI ou PowerShell"] B --> C["🔍 Descoberta do Sistema Versao do Windows Idioma e configuração"] C --> D["💾 Manipulação de Particoes Shrink de particoes nao-boot Cria nova particao de boot"] D --> E["🔐 Ativacao BitLocker Habilita BitLocker via VBScript Chave gerada localmente"] E --> F["☁️ Exfiltração da Chave Chave enviada via Cloudflare Tunnel para servidor atacante"] F --> G["🗑️ Destruicao da Chave Local Chave deletada do sistema Renomeia drive com email"] G --> H["💥 Reinicializacao Forçada Sistema nao consegue iniciar Solicita resgaté via email"] classDef access fill:#e74c3c,stroke:#c0392b,color:#fff classDef script fill:#e67e22,stroke:#d35400,color:#fff classDef disk fill:#8e44ad,stroke:#6c3483,color:#fff classDef crypto fill:#c0392b,stroke:#922b21,color:#fff classDef exfil fill:#2980b9,stroke:#1a5276,color:#fff classDef impact fill:#7f8c8d,stroke:#626567,color:#fff class A access class B,C script class D disk class E,F crypto class G,H impact ``` **Alvos documentados:** organizacoes governamentais Mexico, Indonesia e Jordania (Kaspersky 2024) ## Timeline ```mermaid timeline title ShrinkLocker - Historico 2024-May : Kaspersky publica descoberta do ShrinkLocker : Casos no Mexico, Indonesia e Jordania : Atribuido a DEV-0270/Nemesis Kitten (Iran) 2024-Jun : ESET e outros confirmam amostras : Análise técnica do Disk.vbs publicada 2024-Oct : Microsoft atualiza guia de proteção BitLocker : Em resposta ao uso malicioso documentado 2025 : Continua sendo detectado em novos incidentes : Variantes com novas funcionalidades observadas ``` ## Técnicas Utilizadas - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1491-001-internal-defacement|T1491.001 - Internal Defacement]] - [[t1070-001-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1562-004-disable-or-modify-system-firewall|T1562.004 - Disable or Modify System Firewall]] - [[t1059-005-visual-basic|T1059.005 - Visual Basic]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1102-web-service|T1102 - Web Service]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1529-system-shutdownreboot|T1529 - System Shutdown/Reboot]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] ## Detecção - Monitorar ativação do BitLocker em sistemas onde ele não estava ativado, especialmente via scripts VBScript ou PowerShell - Detectar modificações na política de BitLocker via registro (`HKLM\SOFTWARE\Policies\Microsoft\FVE`) por processos não administrativos - Alertar sobre modificações de configuração de inicialização (`bcdedit`) seguidas de reinicialização forçada - Implementar auditoria centralizada de logs para detectar limpeza de logs de eventos do Windows - Monitorar o upload de chaves de recuperação do BitLocker para serviços externos (telemetria de DLP) ## Relevância LATAM/Brasil O [[s1178-shrinklocker|ShrinkLocker]] foi específicamente documentado em ataques a organizações governamentais no México - tornando-o a ameaça de ransomware com maior relevância geográfica direta para o contexto LATAM. Organizações governamentais brasileiras que dependem do Windows e não monitoram ativações do BitLocker estão particularmente vulneráveis a essa técnica. O uso de ferramentas nativas do Windows (living-off-the-land) pelo ShrinkLocker é uma tendência crescente que demanda estrategias de detecção baseadas em comportamento, não apenas em assinatura de malware. ## Referências - [MITRE ATT&CK - S1178](https://attack.mitre.org/software/S1178)