ShrinkLocker, il nuovo ransomware usa BitLocker per cifrare i dati aziendali

Kaspersky ha recentemente scoperto un nuovo ransomware chiamato ShrinkLocker, che sfrutta BitLocker di Microsoft per cifrare i file aziendali. Questa minaccia rappresenta una svolta preoccupante nel panorama della sicurezza informatica, poiché utilizza uno strumento di protezione dei dati per scopi malevoli.

Come funziona ShrinkLocker, processo di cifratura e d eliminazione delle tracce

ShrinkLocker è progettato per rilevare le versioni specifiche di Windows e attivare BitLocker di conseguenza. Gli attori delle minacce disabilitano le funzionalità di ripristino per impedire il recupero dei file, utilizzando un VBScript dannoso. Questo script rileva la versione corrente di Windows e abilita le funzionalità di BitLocker, rendendolo capace di infettare sistemi nuovi e legacy fino a Windows Server 2008.

Se la versione del sistema operativo è compatibile, lo script modifica le impostazioni di avvio e tenta di cifrare l’intera unità utilizzando BitLocker. Crea una nuova partizione di avvio, configurando una sezione separata sull’unità del computer. Questa azione blocca la vittima in una fase successiva, eliminando le protezioni della chiave di cifratura di BitLocker.

Una volta cifrato il sistema, lo script invia le informazioni e la chiave di cifratura al server controllato dagli attori della minaccia e poi elimina i registri e i vari file utilizzati per l’indagine. Infine, il malware forza lo spegnimento del sistema, rendendo visibile alla vittima la schermata di BitLocker con il messaggio: “Non ci sono più opzioni di recupero BitLocker sul PC”.

Le vittime di ShrinkLocker

Gli attacchi di ShrinkLocker sono stati osservati in Messico, Indonesia e Giordania, colpendo aziende del settore dell’acciaio, della produzione di vaccini e un ente governativo. Questi settori sono stati scelti per l’alto valore dei loro dati, rendendo più probabile il pagamento del riscatto.

Misure di mitigazione consigliate

Gli esperti di Kaspersky raccomandano diverse misure per proteggersi da ShrinkLocker:

• Utilizzare un software di sicurezza affidabile e correttamente configurato.
• Implementare il servizio Managed Detection and Response (MDR) per individuare in modo proattivo le minacce.
• Limitare i privilegi degli utenti per impedire l’abilitazione non autorizzata delle funzioni di cifratura.
• Attivare la registrazione e il monitoraggio del traffico di rete, rilevando le richieste GET e POST.
• Monitorare gli eventi di esecuzione di VBScript e PowerShell, salvando gli script e i comandi registrati in un repository esterno.

Cristian Souza, Incident Response Specialist del Kaspersky Global Emergency Response Team, ha dichiarato: “È paradossale che una misura di sicurezza come BitLocker sia stata usata in questo modo. Per le aziende, è fondamentale disporre di password forti e conservare in modo sicuro le chiavi di ripristino. Anche i backup regolari, archiviati offline e verificati, sono una garanzia essenziale”.

Continua a leggere le notizie di Diario Innovazione e segui la nostra pagina Facebook