El ransomware BitLocker ha explotado vulnerabilidades conocidas en Microsoft Exchanges, estas vulnerabilidades se conocieron como ProxyShell, este nombre se dio a la combinación de tres vulnerabilidades: CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207.
BitLocker a diferencia de otros grupos utiliza una herramienta del propio Windows para cifrar los archivos, herramienta que da nombre al grupo.
Esta táctica de cifrado requiere un poco más del grupo, ya que necesita tomar el control del sistema a través de un acceso remoto, para poder realizar el cifrado. Aunque el programa BitLocker esté desactivado, el malware ejecuta comandos para activarlo.
El hecho de que el grupo tenga que controlar el sistema de forma remota es preocupante, porque no sólo utiliza este “privilegio” para activar el cifrado, sino que a través de él el malware se mueve lateralmente en el sistema buscando sistemas de copia de seguridad y controladores de dominio.
Este proceso lleva mucho tiempo, puede durar algunas horas. Y cuando el proceso de cifrado termina, todos los sistemas se bloquean y se deja una nota de rescate en el escritorio con información para que la víctima se ponga en contacto con el grupo.
El rescate se cobra en criptomonedas y puede variar según el tamaño de la empresa y la cantidad de archivos que se hayan cifrado. El valor suele rondar los miles de dólares.
En los casos en los que incluso la copia de seguridad está encriptada puede parecer que la única salida es pagar el rescate, pero sepa que no es así. Digital Recovery se especializa en la recuperación de datos encriptados por ransomware, podemos recuperar archivos que han sido encriptados por el ransomware Bitlocker en cualquier dispositivo de almacenamiento.
Recuperar los Archivos Encriptados por el Ransomware BitLocker
Digital Recovery lleva más de dos décadas en el mercado de la recuperación de datos, y nuestro mayor diferenciador ha sido siempre nuestra capacidad para desarrollar tecnologías innovadoras. Esto nos ha mantenido siempre a la vanguardia del mercado.
Todos nuestros procesos son únicos y han sido desarrollados en base al Reglamento General de Protección de Datos (GDPR). Podemos recuperar datos de HDDs, SSDs, Bases de Datos, Almacenes, Máquinas Virtuales, Sistemas RAID y más.
Podemos recuperar datos en cualquier parte del mundo a través de la recuperación remota, esta recuperación se realiza en un entorno totalmente seguro. Durante todo el proceso el cliente es acompañado por uno de nuestros especialistas.
Proporcionamos a todos nuestros clientes un acuerdo de confidencialidad (NDA), toda la información sobre los procesos y archivos recuperados se mantiene confidencial.
Póngase en contacto con nuestros especialistas y comience el proceso de recuperación ahora mismo.
