ShrinkLocker è un nuovo e sofisticato ransomware scoperto dai ricercatori di sicurezza di Kaspersky. Questo malware si distingue per la sua capacità di sfruttare in modo improprio e malevole la funzionalità di crittografia BitLocker integrata nei sistemi operativi Windows per bloccare l’accesso ai dati delle vittime e chiedere un riscatto per ripristinarli.
Gli attacchi di ShrinkLocker sono stati rilevati contro organizzazioni governative, produttori di acciaio e aziende del settore dei vaccini in Messico, Indonesia e Giordania. Il ransomware introduce nuove tecniche per massimizzare i danni dell’attacco ed eludere il rilevamento.
ShrinkLocker
ShrinkLocker è scritto in Visual Basic Scripting (VBScript). E’ un linguaggio di scripting legacy di Microsoft ora in fase di deprecazione. Lo script VBS del malware è in grado di rilevare la specifica versione di Windows in esecuzione sulla macchina bersaglio utilizzando Windows Management Instrumentation (WMI).
L’attacco procede solo se vengono soddisfatti determinati parametri. Per esempio, il dominio corrente che corrisponde all’obiettivo e una versione del sistema operativo più recente di Vista. In caso contrario, ShrinkLocker termina automaticamente e si elimina.
Se il bersaglio corrisponde ai requisiti, il malware utilizza l’utility diskpart di Windows. Riduce ogni partizione non di avvio di 100 MB; poi suddivide lo spazio non allocato in nuovi volumi primari delle stesse dimensioni. Quindi utilizza BCDEdit per reinstallare i file di avvio nelle nuove partizioni create.
ShrinkLocker genera una chiave di crittografia casuale a 64 caratteri univoca per ogni sistema infetto. Utilizza una combinazione di valori numerici, lettere di pangram e caratteri speciali. La chiave viene quindi convertita in una stringa sicura. In seguito è inviata all’attaccante tramite una richiesta HTTP POST insieme a informazioni dettagliate sul computer della vittima.
Tecniche di offuscamento e persistenza
Per massimizzare l’impatto del ransomware, ShrinkLocker modifica diverse voci di registro relative a BitLocker e alla sicurezza del sistema. Queste modifiche gli consentono di attivare BitLocker anche se il dispositivo non dispone di un chip Trusted Platform Module (TPM).
Inoltre, il malware disabilita i normali dispositivi di protezione per il backup della chiave BitLocker. In questo modo la vittima dell’attacco non può più recuperare la chiave. Genera quindi una password casuale e la trasmette all’attaccante.
Per coprire le sue tracce, ShrinkLocker cancella i registri di Windows PowerShell, elimina le attività pianificate e forza l’arresto del sistema. Lascia l’indirizzo e-mail degli attaccanti nel nome delle nuove partizioni di avvio create in modo che la vittima possa contattare gli hacker per un possibile pagamento del riscatto.
Impatto e vittime degli attacchi
Alla fine, il sistema bersaglio viene spento. Al successivo avvio accoglie l’utilizzatore con un messaggio che indica che il PC non ha più opzioni di ripristino di BitLocker.
Kaspersky ritiene che la versione dello script e le tattiche, tecniche e procedure (TTP) suggeriscano che questo ransomware non operi come un Ransomware-as-a-Service (RaaS).
Ciò significa che gli attaccanti non hanno bisogno di coordinarsi o negoziare con i fornitori. Hanno l’opportunità di tenere l’intero pagamento del riscatto, se le aziende colpite scelgono di pagare. La principale motivazione degli attacchi sembra essere puramente monetaria.
Come proteggersi da ShrinkLocker
Per proteggersi da questo ransomware, le aziende dovrebbero garantire l’archiviazione sicura delle chiavi di ripristino di Bitlocker. In più è utile mantenere backup regolari che vengono periodicamente salvati offline e testati. Si consiglia inoltre di utilizzare una soluzione Endpoint Protection Platform (EPP) adeguatamente configurata per rilevare i tentativi di abuso di BitLocker.
Una soluzione Endpoint Protection Platform (EPP) è un sistema di sicurezza che protegge i dispositivi finali (endpoint) di una rete, come computer desktop, laptop e server, da minacce informatiche come malware, ransomware e attacchi hacker.
Una EPP combina più livelli di sicurezza, tra cui:
- Monitoraggio avanzato dei comportamenti per identificare attività sospette
- Analisi euristica e basata su machine learning per rilevare minacce sconosciute
- Controllo delle applicazioni per limitare l’esecuzione di software non autorizzato
- Gestione delle patch per correggere le vulnerabilità del sistema
Altre misure proattive includono l’abilitazione di privilegi minimi per gli utenti, l’abilitazione della registrazione e del monitoraggio del traffico di rete, il tracciamento degli eventi relativi all’esecuzione di VBS e PowerShell e la registrazione degli script associati.
Conclusioni e considerazioni
ShrinkLocker rappresenta un’evoluzione preoccupante delle tecniche ransomware che sfruttano funzionalità di sicurezza legittime come BitLocker per scopi malevoli. Dimostra l’eccellente comprensione degli interni di Windows da parte degli attori delle minacce.
ShrinkLocker evidenzia inoltre la continua evoluzione delle minacce ransomware e la necessità per le organizzazioni di rafforzare proattivamente le loro difese.
