Passa al contenuto principale

Kaspersky scopre un nuovo ransomware che utilizza BitLocker per criptare i dati aziendali

27 maggio 2024

Kaspersky ha rilevato attacchi ransomware che utilizzano BitLocker di Microsoft per crittografare i file aziendali. Gli attori delle minacce disabilitano le funzionalità di ripristino per impedire il recupero dei file e utilizzano uno script dannoso con una nuova funzionalità che è in grado di rilevare versioni specifiche di Windows e attivare BitLocker in base alla versione di Windows. Gli attacchi con questo ransomware, denominato "ShrinkLocker", e le sue varianti sono stati osservati in Messico, Indonesia e Giordania. Gli autori hanno preso di mira aziende che operano nel settore dell’acciaio, nella produzione di vaccini e un ente governativo.

Secondo quanto riportato dal Global Emergency Response team di Kaspersky, i cyber criminali stanno utilizzando VBScript, un linguaggio di programmazione per automatizzare le attività sui computer Windows, per creare uno script dannoso con funzionalità non segnalate in precedenza al fine di massimizzare i danni dell'attacco. La novità è che lo script controlla la versione corrente di Windows installata sul sistema e abilita di conseguenza le funzionalità di BitLocker. In questo modo, si presume che lo script sia in grado di infettare sistemi nuovi e legacy fino a Windows Server 2008.

Se la versione del sistema operativo è adatta all'attacco, lo script modifica le impostazioni di avvio e tenta di crittografare l'intera unità utilizzando BitLocker. Crea una nuova partizione di avvio, configurando una sezione separata sull'unità del computer contenente i file per l'avvio del sistema operativo. Questa azione ha lo scopo di bloccare la vittima in una fase successiva. Gli aggressori hanno anche eliminato le protezioni utilizzate per la sicurezza della chiave di crittografia di BitLocker, in modo che la vittima non possa recuperarle.

Lo script dannoso invia quindi le informazioni sul sistema e la chiave di crittografia generata sul computer compromesso al server controllato dall'attore della minaccia. In seguito, copre le sue tracce eliminando i registri e i vari file che servono come indizi e aiutano a indagare su un attacco. Nella fase finale, il malware forza lo spegnimento del sistema, un’operazione facilitata dalla creazione e dalla reinstallazione dei file in una partizione di avvio separata. La vittima visualizza la schermata di BitLocker con il messaggio: "Non ci sono più opzioni di recupero BitLocker sul PC".

alt

                                                                                            Il messaggio che appare sullo schermo della vittima dopo l'arresto forzato del sistema

Kaspersky ha chiamato lo script "ShrinkLocker", poiché questo nome evidenzia la procedura critica di ridimensionamento della partizione, essenziale per l'aggressore al fine di garantire il corretto avvio del sistema con i file crittografati.

"L'aspetto particolarmente preoccupante di questo caso è che BitLocker, originariamente progettato per mitigare i rischi di furto o esposizione dei dati, è stato riutilizzato dai cybercriminali per scopi malevoli. È paradossale che una misura di sicurezza sia stata usata in questo modo. Per le aziende che utilizzano BitLocker, è fondamentale disporre di password forti e di conservare in modo sicuro le chiavi di ripristino. Anche i backup regolari, archiviati offline e verificati, sono una garanzia essenziale", ha dichiarato Cristian Souza, Incident Response Specialist del Kaspersky Global Emergency Response Team.

L'analisi tecnica dettagliata dell'incidente è disponibile su Securelist. Gli esperti di Kaspersky consigliano le seguenti misure di mitigazione per evitare che gli aggressori sfruttino la funzionalità descritta nel report:

·    Utilizzare un software di sicurezza affidabile e correttamente configurato per rilevare le minacce che tentano di sfruttare BitLocker.

·    Implementare il servizio Managed Detection and Response (MDR) per individuare in modo proattivo le minacce.

·    Limitare i privilegi degli utenti per impedire l'abilitazione non autorizzata delle funzioni di crittografia o la modifica delle chiavi di registro.

·    Attivare la registrazione e il monitoraggio del traffico di rete, rilevando le richieste GET e POST, poiché i sistemi infetti possono trasmettere password o chiavi a domini di aggressori.

Monitorare gli eventi di esecuzione di VBScript e PowerShell, salvando gli script e i comandi registrati in un repository esterno per conservare l'attività nonostante la cancellazione locale.

Kaspersky scopre un nuovo ransomware che utilizza BitLocker per criptare i dati aziendali

Kaspersky ha rilevato attacchi ransomware che utilizzano BitLocker di Microsoft per crittografare i file aziendali. Gli attori delle minacce disabilitano le funzionalità di ripristino per impedire il recupero dei file e utilizzano uno script dannoso con una nuova funzionalità che è in grado di rilevare versioni specifiche di Windows e attivare BitLocker in base alla versione di Windows. Gli attacchi con questo ransomware, denominato "ShrinkLocker", e le sue varianti sono stati osservati in Messico, Indonesia e Giordania. Gli autori hanno preso di mira aziende che operano nel settore dell’acciaio, nella produzione di vaccini e un ente governativo.
Kaspersky logo

Informazioni su Kaspersky

Kaspersky è un'azienda globale di sicurezza informatica e privacy digitale fondata nel 1997. Con oltre un miliardo di dispositivi protetti fino a oggi dalle minacce informatiche emergenti e dagli attacchi mirati, l'intelligence sulle minacce e le competenze in materia di sicurezza di Kaspersky si trasformano costantemente in soluzioni e servizi innovativi per proteggere aziende, infrastrutture critiche, governi e consumatori in tutto il mondo. L’azienda offre un portafoglio di prodotti di sicurezza completo, che include protezione degli endpoint leader di settore, prodotti e servizi di sicurezza specializzati e soluzioni Cyber ​​Immune per contrastare le minacce digitali sofisticate e in continua evoluzione. Aiutiamo oltre 200.000 clienti aziendali a proteggere ciò che conta di più per loro. Ulteriori informazioni sul sito Web www.kaspersky.it.

Articolo correlato Comunicati Stampa