Gli esperti di sicurezza informatica di Kaspersky hanno identificato un nuovo ceppo di ransomware denominato ShrinkLocker che utilizza Microsoft BitLocker per crittografare i file aziendali ed estorcere pagamenti alle organizzazioni vittime. Il malware è stato rilevato in Messico, Indonesia e Giordania e ha colpito produttori di acciaio e vaccini e un ente governativo.
Meccanismi tecnici e rilevamento
ShrinkLocker impiega VBScript per interagire con Strumentazione gestione Windows, adattando il suo attacco a varie versioni dei sistemi operativi Microsoft, incluso Windows Server 2008. Il malware esegue il ridimensionamento del disco su unità fisse, modifica il partizionamento e la configurazione di avvio, attiva BitLocker e crittografa l’archiviazione del computer. Il rapporto di Kaspersky delinea i passaggi dettagliati per rilevare e bloccare le varianti di ShrinkLocker.
Attacco Processo e impatto
Una volta ottenuta l’esecuzione del codice sul computer di una vittima, viene distribuito ShrinkLocker. Cambia le etichette di partizione nell’e-mail degli estorsori, facilitando il contatto con la vittima. La chiave di decrittazione viene inviata a un server controllato dagli aggressori, dopodiché ShrinkLocker elimina la chiave localmente, cancellando le opzioni di ripristino e i registri di sistema. Il sistema compromesso viene quindi spento, visualizzando una schermata BitLocker che indica:”Non ci sono più opzioni di ripristino BitLocker sul tuo PC”.
Metodologia di attacco dettagliata
ShrinkLocker sfrutta le funzioni esportate dalla DLL di crittografia ADVAPI32.dll , come CryptAcquireContextA, CryptEncrypt e CryptDecrypt, per garantire la compatibilità tra varie versioni del sistema operativo. Il malware memorizza il suo VBScript in C:\ProgramData\Microsoft\Windows\Templates\ come Disk.vbs, che include una funzione per convertire le stringhe in binario utilizzando un oggetto ADODB.Stream. Lo script controlla il nome del sistema operativo per”xp”,”2000″,”2003″o”vista”e termina se viene rilevato uno di questi.
Lo script esegue operazioni di ridimensionamento del disco specificamente su unità fisse (DriveType=3) ed evita le unità di rete per impedire il rilevamento. Per Windows Server 2008 o 2012, lo script utilizza diskpart per ridurre le partizioni non di avvio di 100 MB, creare nuove partizioni primarie, formattarli e reinstallare i file di avvio. Il malware modifica le voci del registro per disabilitare le connessioni RDP, imporre l’autenticazione della smart card e configurare le impostazioni BitLocker senza un chip TPM compatibile.
Crittografia e comunicazione
ShrinkLocker genera una chiave di crittografia di 64 caratteri utilizzando una combinazione casuale di numeri, lettere e caratteri speciali, che viene quindi convertita in una stringa sicura per BitLocker. Il malware invia una richiesta HTTP POST contenente le informazioni sul computer e la password generata al server dell’aggressore, utilizzando il dominio trycloudflare.com per offuscamento. Lo script cancella i registri operativi/di Windows PowerShell e Microsoft-Windows-PowerShell, attiva il firewall di sistema ed elimina tutte le regole del firewall.
Misure preventive
Kaspersky consiglia alle organizzazioni di limitare i privilegi utente per impedire l’attivazione di funzionalità di crittografia o la modifica delle chiavi di registro. Per coloro che utilizzano BitLocker, è fondamentale utilizzare password complesse e archiviare in modo sicuro le chiavi di ripristino. Si consiglia inoltre di monitorare gli eventi di esecuzione di VBScript e PowerShell, di registrare le attività critiche del sistema in un repository esterno e di eseguire frequentemente il backup di sistemi e file offline. Testare i backup garantisce che possano essere ripristinati in caso di attacco ransomware o altri incidenti di sicurezza.