ShrinkLocker: attenzione al ransomware che usa BitLocker per crittografare i file della vittima

Una nuova minaccia che prende di mira realtà governative e aziende sfrutta i meccanismi di sicurezza di Windows per rivoltarli contro l'utente
di Andrea Bai pubblicata il 28 Maggio 2024, alle 11:31 nel canale SicurezzaKaspersky
Un nuovo e insidioso ceppo di ransomware, battezzato ShrinkLocker, sta causando preoccupazione le aziende, in particolare quelle della manifattura e della produzione di vaccini, e le organizzazioni governative.
Si tratta di un malware che ha la capacità di ridurre le partizioni non di avvio per creare nuovi volumi - da cui il nome ShrinkLocker - e utilizza la funzionalità di crittografia BitLocker di Windows per crittografare i file.
L'utilizzo di BitLocker a scopi dannosi è già stato riscontrato in passato: in precedenza un attore di minaccia aveva sfruttato la funzionalità per crittografare enormi quantità di dati, come nel caso di un ospedale belga che ha visto 100 TB di informazioni su 40 server cadere nelle mani di un aggressore informatico. Allo stesso modo un produttore e distributore di carne con sede a Mosca ha subito un attacco simile. Persino Microsoft ha lanciato l'allarme nel settembre 2022, avvertendo che un aggressore supportato allo stato iraniano aveva utilizzato BitLocker per crittografare sistemi che eseguivano Windows 10, Windows 11 o Windows Server 2016 e versioni successive.
I ricercatori Kaspersky hanno analizzato ShrinkLocker rilevando una serie di funzionalità in precedenza non ancora osservate nelle minacce che usano BitLocker a scopi dannosi, e che hanno l'obiettivo di "massimizzare la portata dell'attacco". Il ransomware è realizzato in VBScript, linguaggio introdotto da Microsoft nel 1996 e ora in fase di abbandono, e mostra una particolare sofisticazione.
In particolare ShrinkLocker ha la capacità di individuare la versione specifica di Windows in esecuzione sul sistema preso di mira, sfruttando la strumentazione di gestione di Windows con la classe Win32_OperatingSystem. Se vengono soddisfatti requisiti specifici ShrinkLocker prosegue con la sua attività, altrimenti il ransomware si auto-termina e si cancella dal sistema.
Nel caso in cui l'attacco prosegua, il ransomware usa l'utility diskpart di Windows per sottrarre circa 100MB da ogni partizione non di avvio presente sui dischi e divide lo spazio non allocato in nuovi volumi primari della stessa dimensione. A questo punto viene usato BCDEdit da riga di comando allo scopo di reinstallare i file di avvio sulle partizioni appena create. ShrinkLocker si occupa poi di modificare le voci del registro di Windows per disabilitare le connessioni remote desktop o per abilitare la crittografia BitLocker su sistemi senza chip TPM.
A differenza di quanto avviene comunemente con altri ransomware, non viene salvato alcun file contenente le indicazioni per il pagamento del riscatto, ma viene inserito un indirizzo e-mail di contatto come etichetta delle nuove partizioni di avvio. L'etichetta però passerà per lo più inosservata fino a quando il sistema non viene avviato usando un ambiente di ripristino o mediante strumenti diagnostici, rendendola così evidente.

Al termine delle operazioni di crittografia delle unità, ShrinkLocker elimina le protezioni BitLocker, come ad esempio le funzioni TPM, eventuali PIN, la chiave di avvio, la password, la password di ripristino e la chiave di ripristino, così da impedire alla vittima qualsiasi opzione per poter recuperare la chiave di crittografia di BitLocker, che viene invece inviata all'autore dell'attacco.
La chiave generata per crittografare i file è una combinazione di 64 caratteri a moltiplicazione casuale e sostituzione di una variabile con numeri da 0 a 9, caratteri speciali e il pangramma "The quick brown fox jumps over the lazy dog". La chiave viene fornita mediante lo strumento TryCloudflare, un servizio del tutto legittimo che permette a chiunque di sperimentare il Tunnel di CloudFlare senza dover aggiungere un sito al DNS di CloudFlare.
Resta l'ultima fase dell'attacco, in cui il ransomware forza l'arresto del sistema così che tutte le modifiche possano avere effetto: al riavvio l'utente si troverà tutte le unità bloccate e senza la possibilità di accedere alle opzioni di ripristino messe a disposizione da BitLocker.
I ricercatori sottolineano che nonostante BitLocker consenta di creare un messaggio personalizzato per le schermate di ripristino - dove sarebbe stato semplice e ideale inserire le istruzioni per il pagamento del riscatto e il recupero dell informazioni - l'attore di minaccia ha preferito occultare un indirizzo email come etichetta delle unità, come spiegato in precedenza. Questo potrebbe indicare la volontà di condurre un attacco a scopo distruttivo e non con l'obiettivo di estorcere denaro alla vittima.
12 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoBackup, backup e ancora backup !
Peccato che si tratti di un ransomware, dal punto di vista informatico e di programmazione questa roba è comunque notevole...peccato che questa gente si dedichi al delinquere invece di dare un contribuito alla sicurezza.
Con l'augurio che rinnovo ogni volta di finire tutti in galera e che i soldi dei riscatti li possano usare per curare qualche brutto male.
Presto detto il perchè:
Una rende più dell' altra.
Una rende più dell' altra.
Fa riflettere.
E soprattutto Backup attacca stacca su HD esterni PRIMA di fare qualsiasi tipo di operazione sospetta. Dubitate, dubitate sempre di mail, programmi, crack, etc. Per chi può, sperimenti su una VM di test che puoi sempre buttare...
Mi sembra strano.
A una cliente chiedeva la chiave bitlocker in avvio del pc e non l'aveva.
Ho scritto all'assistenza Microsoft e secondo il tecnico non c'era modo di recuperarla a meno che non ci fosse una delle prime versioni di bitlocker. Mi ha dato un comando da provare ma non ha funzionato.
del resto non avrebbe senso se fosse facilmente recuperabile.
Amen fratello !
dall'account microsoft riesci a recuperarla anche di macchine che non usi da anni, ci ho recuperato dei dati così
mi pareva si potesse recuperare qualcosa anche in ambiente AD anche se non fosse stato specificatamente definito il backup delle chiavi via gpo
btw, ond'evitar cagade degli utenti, quantomeno sui hard disk interni io glielo disabilito sempre via gpo
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".