Ransomware ShrinkLocker

Entro Mezo nel Ransomware

Traduci in:

Numerosi operatori di ransomware mettono in dubbio la necessità di integrare un meccanismo di blocco crittografico nelle loro minacce malware, data la disponibilità del robusto software di crittografia di Microsoft all'interno di Windows. Un esempio degno di nota evidenziato dagli esperti di sicurezza informatica è ShrinkLocker. Questa variante del ransomware crea una nuova partizione di avvio per crittografare i sistemi aziendali utilizzando Windows BitLocker.

Sommario

Gli autori delle minacce bloccano i dati abusando delle funzionalità legittime di Windows

I casi di ransomware che utilizzano BitLocker per crittografare i computer non sono rari. In un caso, un autore di minacce ha sfruttato questa funzionalità di sicurezza di Windows per crittografare 100 TB di dati su 40 server in un ospedale in Belgio. Allo stesso modo, un altro utente malintenzionato ha utilizzato BitLocker per crittografare i sistemi appartenenti a un produttore e distributore di carne con sede a Mosca. Microsoft ha emesso un avviso nel settembre 2022, rivelando che un utente malintenzionato sponsorizzato dallo stato iraniano aveva utilizzato BitLocker per crittografare i sistemi che eseguivano Windows 10, Windows 11 o Windows Server 2016 e versioni successive.

Tuttavia, dopo aver esaminato ShrinkLocker, gli esperti avvertono che questa minaccia presenta caratteristiche precedentemente non divulgate volte ad amplificare la portata dell'impatto dell'attacco.

ShrinkLocker viene eseguito solo quando vengono soddisfatte determinate specifiche

ShrinkLocker, codificato in Visual Basic Scripting (VBScript), un linguaggio introdotto da Microsoft nel lontano 1996 e ora in via di estinzione. Tra le sue funzionalità, la minaccia dimostra la capacità di identificare la specifica versione di Windows in esecuzione sul computer di destinazione utilizzando Strumentazione gestione Windows (WMI) con la classe Win32_OperatingSystem.

L'attacco procede solo in determinate condizioni, ad esempio se il dominio corrente corrisponde a quello dell'obiettivo e la versione del sistema operativo (OS) è più recente di Vista. Altrimenti, ShrinkLocker si concluderà automaticamente e si auto-eliminerà. Quando l'obiettivo soddisfa i criteri dell'attacco, il malware utilizza l'utilità disk part di Windows per ridurre di 100 MB ogni partizione non di avvio, dividendo lo spazio non allocato in nuovi volumi primari di dimensioni identiche.

I ricercatori notano che in Windows 2008 e 2012, ShrinkLocker Ransomware conserva inizialmente i file di avvio insieme all'indice di altri volumi. Operazioni di ridimensionamento simili vengono condotte su altre versioni del sistema operativo Windows, anche se con segmenti di codice diversi, come sottolineato nell'analisi tecnica dei ricercatori. Successivamente, il malware utilizza lo strumento da riga di comando BCDEdit per reinstallare i file di avvio sulle partizioni appena generate.

Il ransomware ShrinkLocker rende inutilizzabili i dati su intere partizioni del disco

ShrinkLocker modifica inoltre le voci del registro per disabilitare le connessioni desktop remote o abilitare la crittografia BitLocker su host senza Trusted Platform Module (TPM). Questo chip dedicato fornisce funzioni basate sull'hardware e legate alla sicurezza.

L'autore della minaccia dietro ShrinkLocker non rilascia un file di riscatto per stabilire un canale di comunicazione con la vittima. Forniscono invece un indirizzo email di contatto (onboardingbinder@proton.me, conspiracyid9@protonmail.com) come etichetta delle nuove partizioni di avvio. Tuttavia, questa etichetta non verrà vista dagli amministratori a meno che non avviino il dispositivo utilizzando un ambiente di ripristino o tramite altri strumenti diagnostici, rendendola abbastanza facile da non notare.

Dopo aver crittografato le unità, l'autore della minaccia elimina le protezioni BitLocker (ad esempio TPM, PIN, chiave di avvio, password, password di ripristino, chiave di ripristino) per negare alla vittima qualsiasi opzione per recuperare la chiave di crittografia di BitLocker, che viene inviata all'autore dell'attacco.

La chiave generata per crittografare i file è una combinazione di 64 caratteri di moltiplicazione casuale e sostituzione di una variabile con numeri da 0 a 9, caratteri speciali e la frase oloalfabetica "La veloce volpe marrone salta sopra il cane pigro". La chiave viene fornita tramite lo strumento TryCloudflare, un servizio legittimo che consente agli sviluppatori di sperimentare il tunnel di CloudFlare senza aggiungere un sito al DNS di CloudFlare.

Nella fase finale dell'attacco, ShrinkLocker forza lo spegnimento del sistema affinché tutte le modifiche abbiano effetto e lascia l'utente con le unità bloccate e senza opzioni di ripristino di BitLocker.

Gli attori delle minacce ShrinkLocker potrebbero non essere guidati dal punto di vista finanziario

BitLocker offre la possibilità di creare un messaggio personalizzato sulle schermate di ripristino, fornendo una piattaforma ideale per visualizzare un messaggio di estorsione alle vittime. L'assenza di una richiesta di riscatto ben visibile e di un'e-mail semplicemente designata come etichetta dell'unità potrebbe suggerire che questi attacchi siano destinati ad essere di natura più distruttiva piuttosto che guidati da motivazioni finanziarie.

I ricercatori hanno scoperto che ShrinkLocker si manifesta in molteplici varianti ed è stato utilizzato contro un ente governativo, nonché contro organizzazioni operanti nei settori della produzione dell'acciaio e dei vaccini in Messico, Indonesia e Giordania.

Si consiglia vivamente alle aziende che utilizzano BitLocker sui propri sistemi di garantire l'archiviazione sicura delle chiavi di ripristino e di mantenere backup offline regolari che vengono periodicamente testati. Inoltre, le organizzazioni sono invitate a implementare una soluzione Endpoint Protection Platform (EPP) adeguatamente configurata per rilevare tentativi di abuso di BitLocker, applicare privilegi utente minimi, abilitare la registrazione e il monitoraggio completi del traffico di rete (comprese sia le richieste GET che POST), tenere traccia degli eventi associati a Esecuzione di VBS e PowerShell e registrazione degli script pertinenti.