Kaspersky Labla multinazionale russa specializzata in Sicurezza informaticarecentemente riportato l’emergenza di un nuovo tipo di ransomware nominato ShrinkLocker. A differenza dei ransomware tradizionali che richiedono un riscatto per ripristinare l’accesso ai file crittografati, ShrinkLocker si distingue per la sua caratteristica vocazione distruttivautilizzando BitLocker da Microsoft per crittografare e rendere irrecuperabile dati delle vittime.
ShrinkLocker: il metodo di attacco ransomware
ShrinkLocker sfrutta la funzionalità BitLocker, uno strumento di crittografia incluso nei sistemi operativi Windows per crittografare i file delle aziende prese di mira. Gli aggressori utilizzano uno script dannoso scritto in VBScript per rilevare la versione di Windows presente sul computer preso di mira. Se il sistema è vulnerabile, lo script consente a BitLocker di crittografare tutte le unità, quindi rimuove le opzioni di ripristino per impedire il ripristino dei file.
I primi attacchi ShrinkLocker sono stati osservati contro aziende produttrici di acciaio e aziende produttrici di vaccini, nonché presso un ente governativo, principalmente in Messico, Indonesia e Giordania.
Come funziona ShrinkLocker
Lo script dannoso ShrinkLocker controlla la versione del sistema operativo e modifica la configurazione di avvio del computer. Crea quindi una nuova partizione di avvio separata e rimuove le protezioni di ripristino di BitLocker, rendendo impossibile ripristinare i dati crittografati senza prima formattare il sistema.
Lo script invia le informazioni di sistema e la chiave di crittografia a un server controllato dai criminali informatici prima di cancellare registri e file che potrebbero aiutare a indagare sull’attacco. Alla fine, il malware forza l’arresto del sistema, lasciando alla vittima una schermata di BitLocker che dice: “Non ci sono più opzioni di ripristino di BitLocker sul tuo PC. »
Prevenzione e sicurezza
ShrinkLocker illustra l’uso dannoso di uno strumento di sicurezza progettato per proteggere i dati dal furto. Per proteggersi da questo tipo di minaccia, si consiglia di mantenere il sistema operativo aggiornato con gli ultimi aggiornamenti di sicurezza, utilizzare un robusto software di sicurezza ed evitare software piratato.
Le aziende possono anche rafforzare la propria sicurezza limitando i privilegi degli utenti, consentendo la registrazione e il monitoraggio del traffico di rete ed eseguendo backup regolari dei propri dati. Cristian Souza, specialista in risposta agli incidenti presso Kaspersky, sottolinea l’importanza di password complesse e di un’archiviazione sicura delle chiavi di ripristino di BitLocker.
