Gli esperti di Kaspersky hanno scoperto un nuovo ransomware che prende di mira i computer Windows. Battezzato ShrinkLocker, il malware si affida a BitLocker, il modulo di crittografia integrato da Microsoft. Introdotto nel 2007 con Windows Vista, il modulo consente agli utenti di proteggere i propri dati crittografando completamente il disco rigido.
Dirottata dai criminali informatici, la funzionalità facilita le attività di ransomware. Come spiega Kaspersky, il fatto “utilizzare le funzionalità proprie del sistema operativo” Est “uno dei modi migliori per eludere il rilevamento”.
Leggi anche: Milioni di e-mail diffondono il ransomware Lockbit in tutto il mondo
Un attacco informatico che prende di mira la tua versione di Windows
Una volta infettato con successo il computer del bersaglio, ShrinkLocker si informerà prima la versione di Windows installata sulla macchina. Gli hacker hanno infatti preso l’abitudine di orchestrare i loro attacchi solo su determinate versioni del sistema operativo. Se sul computer è installata una versione precedente a Windows Vista, il ransomware non attaccherà i dati. Le informazioni sul disco rigido non verranno crittografate e il malware verrà rimosso automaticamente.
In altri casi, ShrinkLocker si basa sull’utilità Gestione disco di Windows per ridurre tutte le parti del disco rigido che non contengono il sistema operativo. Lo spazio liberato viene utilizzato per reinstallare i file di avvio, dando al ransomware la possibilità di manipolare l’avvio del sistema operativo. Il processo complica anche il recupero dei dati.
Quindi, il virus sfrutta Bitlocker per crittografare i dati memorizzati. Disabilita le protezioni integrate per proteggere la chiave di crittografia BitLocker, le rimuove e quindi installa le proprie protezioni. Il malware elimina tutte le protezioni predefinite, come password, chiavi di ripristino e dispositivi di avvio sicuri che consentono al proprietario di riottenere l’accesso ai dati crittografati. Alla fine genera una chiave di crittografia di 64 caratteri. Per concludere l’attacco, il ransomware costringe il sistema a spegnersi. Per Kaspersky sì quasi impossibile affinché un utente riacquisti con successo l’accesso ai file tramite Bitlocker.
I criminali informatici inseriscono un indirizzo e-mail di contatto nelle nuove partizioni di avvio come etichetta. È attraverso questo indirizzo che le vittime sono invitate a negoziare la chiave di crittografia per riottenere l’accesso ai propri dati.
Tattiche raffinate
Secondo Kaspersky, l’esistenza di ShrinkLocker lo è “la prova che gli aggressori perfezionano costantemente le loro tattiche per eludere il rilevamento”. Questo nuovo ceppo di ransomware è stato utilizzato contro aziende ed enti governativi in Messico, Indonesia e Giordania.
Questa non è la prima volta che succede Bitlocker viene utilizzato in modo improprio per attività criminali. Alla fine del 2022, Microsoft ha scoperto che gli hacker iraniani stavano già utilizzando il modulo per lanciare attacchi ransomware. Poco dopo, un’azienda russa ha perso l’accesso ai propri dati durante un attacco informatico che sfruttava Bitlocker, ricorda ArsTechnica.
Inoltre non è raro che una funzione Windows venga utilizzata come arma dai criminali informatici. Di recente, Microsoft si è accorta che gli hacker utilizzavano la funzionalità Quick Assist per distribuire ransomware. Due mesi prima, gli hacker russi avevano sfruttato i gestori del protocollo URI “search-ms:” e il protocollo dell’applicazione “search:” per rubare le credenziali.
-
