Sommario
Un recente incidente di sicurezza ha rivelato che alcuni attori di minacce stanno utilizzando BitLocker, una funzionalità nativa di Windows, per crittografare interi volumi di dati e poi chiedere un riscatto per la chiave di decrittazione denominando il ransomware ShrinkLocker. Questa tecnica sfrutta le capacità di crittografia di BitLocker per ottenere il massimo effetto con il minimo sforzo, rendendo più difficile per le vittime riprendersi dai danni.
Tecnica di attacco
Gli attaccanti utilizzano script avanzati in Visual Basic Script (VBS) per implementare BitLocker sui sistemi target. Questi script sfruttano strumenti nativi di Windows come Windows Management Instrumentation (WMI), diskpart e bcdboot per ottenere il controllo completo sui dischi rigidi.
Analisi dello Script
Lo script VBS utilizzato dagli attaccanti esegue diverse operazioni:
- Rilevamento del Sistema Operativo: Verifica la versione del sistema operativo per assicurarsi che sia compatibile con le tecniche di attacco.
- Ridimensionamento delle Partizioni: Utilizza diskpart per ridurre le partizioni esistenti e creare nuove partizioni da 100 MB.
- Modifica del Registro di Sistema: Aggiunge voci nel registro di sistema per configurare BitLocker e garantire che la protezione venga disabilitata.
- Cifratura del Disco: Abilita BitLocker utilizzando una chiave di cifratura generata casualmente e invia questa chiave agli attaccanti tramite una richiesta HTTP POST.
Misure di sicurezza e mitigazioni
Per proteggersi da questo tipo di attacchi, le aziende devono adottare diverse misure di sicurezza:
- Utilizzo di soluzioni EPP robuste: Implementare soluzioni di Endpoint Protection che possano rilevare e bloccare minacce che tentano di abusare di BitLocker.
- Abilitazione della registrazione del traffico di rete: Configurare la registrazione sia delle richieste GET che POST per monitorare attività sospette.
- Limitazione dei privilegi utente: Garantire che gli utenti abbiano solo i privilegi minimi necessari, impedendo loro di abilitare funzionalità di cifratura o modificare chiavi di registro.
- Backup regolari: Effettuare backup frequenti dei dati e conservarli offline per prevenire la perdita di dati in caso di attacco.
Indicatori di Compromissione
Gli indicatori di compromissione (IOC) includono URL, indirizzi e-mail e hash MD5 associati agli attacchi. Alcuni esempi sono:
- URL:
hxxps://scottish-agreement-laundry-further[dot]trycloudflare[dot]com/updateloghxxps://generated-eating-meals-top[dot]trycloudflare.com/updatelog
- E-mail:
onboardingbinder[at]proton[dot]meconspiracyid9[at]protonmail[dot]com
- Hash MD5:
842f7b1c425c5cf41aed9df63888e768
L’uso di BitLocker da parte del ransomware ShrinkLocker rappresenta una nuova sfida per la sicurezza informatica. Gli attori delle minacce continuano a perfezionare le loro tattiche per eludere il rilevamento e massimizzare i danni. Le aziende, secondo Kaspersky, devono rimanere vigili e implementare misure proattive per proteggere i loro sistemi e dati da tali minacce.
