Allarme sicurezza: un nuovo ransomware sfrutta BitLocker per criptare i dati

Shrinklocker è l'ultimo ransomware scoperto da Kaspersky, il quale sfrutta la crittografia completa del disco di Windows.

Avatar di Andrea Maiellano

a cura di Andrea Maiellano

Author

In un recente report, Kaspersky, la celebre azienda di sicurezza informatica, ha presentato le sue scoperte in merito a un nuovo ransomware, soprannominato ShrinkLocker.

Questo malware crittografico sfrutta una funzionalità nativa di Windows, BitLocker, per criptare i dati delle vittime.

BitLocker, implementato per la prima volta con Windows Vista nel 2007, è uno strumento destinato alla crittografia di interi hard disk al fine di proteggere i dati da accessi non autorizzati

Le indagini svolte da Kaspersky, rivelano che ShrinkLocker è già stato utilizzato per attaccare sistemi in Messico, Indonesia e Giordania. La particolarità di questo ransomware risiede nel modo in cui manipola lo spazio su disco: riduce ogni partizione non di avvio a 100 MB, riallocando lo spazio liberato in nuove partizioni primarie della stessa dimensione.

L'azione di ShrinkLocker inizia con l'esecuzione di uno script in VisualBasic. Questo script utilizza il Windows Management Instrumentation e la classe Win32_OperatingSystem per acquisire dettagli sul sistema operativo.

Se lo script rileva sistemi operativi più vecchi come Windows XP, 2000, 2003 o Vista, si auto-elimina per evitare di essere eseguito su piattaforme non target.

L'obiettivo principale del ransomware è criptare i dati su unità fisse locali, evitando volutamente le unità di rete per non innescare sistemi di rilevamento delle minacce. Una volta completate le operazioni di ridimensionamento del disco, ShrinkLocker procede alla disabilitazione e alla successiva eliminazione delle protezioni predefinite di BitLocker, sostituendole con una password numerica. Questa manovra impedisce ai proprietari dei dispositivi di recuperare le chiavi di cifratura perdute.

La generazione della chiave di cifratura da parte di ShrinkLocker è particolarmente astuta: il ransomware crea una password di 64 caratteri attraverso la combinazione di numeri, lettere (grazie all'uso di un pangramma che include ogni lettera dell'alfabeto inglese sia in maiuscolo che in minuscolo), e caratteri speciali.

Una volta criptati i dati, al riavvio del dispositivo viene mostrata una schermata di BitLocker che richiede la chiave per il recupero dei dati. Recuperare i dati senza la chiave in mano al cybercriminale è estremamente difficile, se non impossibile, a causa dell'uso di valori variabili nella generazione della chiave, specifici per ogni dispositivo infettato.

Di fronte a questa minaccia, Kaspersky suggerisce di adottare alcune misure preventive critiche: utilizzare soluzioni di protezione per endpoint ben configurate, implementare servizi di rilevamento e risposta gestiti (MDR), assicurarsi che BitLocker sia protetto da una forte password e che le chiavi di recupero siano conservate in un luogo sicuro.

Inoltre, è essenziale limitare i privilegi degli utenti per prevenire manipolazioni indesiderate delle funzionalità di crittografia e dei registri di sistema.

È altresì importante fare backup regolari, conservarli offline e verificarne periodicamente l'efficacia. In caso di infezione, monitorare e registrare il traffico di rete può aiutare a identificare richieste sospette che potrebbero contenere password o chiavi.

Leggi altri articoli