Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 18 Novembre 2024 07:33
Bitdefender ha rilasciato uno strumento per decrittografare i file colpiti dagli attacchi ransomware ShrinkLocker. Questo malware utilizza lo strumento BitLocker integrato di Windows per bloccare i file delle vittime.
Ricordiamo che ShrinkLocker è stato scoperto nella primavera del 2024. Come dissero allora gli esperti di sicurezza informatica di Kaspersogo Lab, per sferrare gli attacchi gli aggressori crearono uno script dannoso in VBScript (un linguaggio utilizzato per automatizzare le attività sui computer che eseguono Windows). Questo script controlla quale versione di Windows è installata sul dispositivo e attiva BitLocker di conseguenza. Allo stesso tempo il malware è in grado di infettare sia le nuove che le vecchie versioni del sistema operativo, fino a Windows Server 2008.
Come riportato da Bitdefender, il malware è molto probabilmente una rielaborazione di un innocuo codice vecchio di decenni utilizzando VBScript e generalmente utilizza metodi obsoleti. I ricercatori notano che gli operatori di ShrinkLocker sembrano non qualificati, utilizzano codice ridondante, commettono errori di battitura, lasciano registri di file di testo e si affidano principalmente a strumenti semplici e facilmente disponibili.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Tuttavia, questi hacker hanno un record di attacchi riusciti contro obiettivi aziendali. Ad esempio, nel suo rapporto, Bitdefender parla di un attacco ShrinkLocker contro un’organizzazione sanitaria anonima, durante il quale gli aggressori hanno crittografato dispositivi con Windows 10, Windows 11 e Windows Server sull’intera rete (inclusi i backup). In questo caso, il processo di crittografia dei dati ha richiesto circa 2,5 ore e ha comportato la perdita da parte dell’organizzazione dell’accesso ai sistemi critici, il che avrebbe potuto ostacolare la cura dei pazienti.
Bitdefender ci ricorda come si presenta tipicamente un attacco ShrinkLocker: in primo luogo, il malware esegue una query WMI (Strumentazione gestione Windows) per verificare se BitLocker è disponibile sul sistema di destinazione e lo installa se necessario. Il ransomware rimuove quindi tutte le protezioni standard che impediscono la crittografia del disco. Per velocizzare le cose, usa il flag -UsedSpaceOnlyper forzare BitLocker a crittografare solo lo spazio su disco utilizzato.
La password casuale viene generata in base al traffico di rete e ai dati di utilizzo della memoria, quindi non esistono modelli che consentano la forza bruta. Lo script rimuove e riconfigura inoltre tutte le protezioni BitLocker per rendere più difficile il recupero delle chiavi di crittografia.
“I protettori sono meccanismi utilizzati da BitLocker per proteggere la chiave di crittografia. Questi possono includere la sicurezza hardware come TPM, nonché la sicurezza software come password e chiavi di ripristino. Rimuovendo tutta la protezione, lo script cerca di rendere impossibile il recupero dei dati o la decrittografia del disco”, spiega Bitdefender.
Per propagarsi, ShrinkLocker utilizza oggetti Criteri di gruppo (GPO) e attività pianificate, modifica le impostazioni dei criteri di gruppo sui controller di dominio Active Directory e crea attività per tutte le macchine aggiunte al dominio per garantire che tutte le unità sulla rete compromessa siano crittografate. Gli specialisti di Bitdefender hanno preparato e pubblicato uno strumento per decrittografare i dati colpiti da attacchi ransomware. Questo strumento modifica la sequenza di rimozione e riconfigurazione delle protezioni BitLocker.
Secondo i ricercatori, hanno identificato “una specifica finestra di opportunità per il recupero dei dati immediatamente dopo la rimozione delle protezioni dalle unità crittografate BitLocker”, che consente di decrittografare e recuperare la password impostata dagli aggressori. Di conseguenza, il processo di crittografia può essere invertito e i dischi possono essere riportati allo stato precedente, non crittografato.
Il decryptor funziona solo su Windows 10, Windows 11 e le ultime versioni di Windows Server. Va sottolineato che è più efficace immediatamente dopo un attacco ransomware, quando le impostazioni di BitLocker non sono state ancora completamente modificate e possono ancora essere ripristinate.
RedazioneUna vulnerabilità zero-day nel driver Windows Cloud Files Mini Filter (cldflt.sys) è attualmente oggetto di sfruttamento attivo. Microsoft ha provveduto al rilascio di aggiornamenti di sicurezza urg...
Una vulnerabilità critica, monitorata con il codice CVE-2025-59719, riguarda le linee di prodotti FortiOS, FortiWeb, FortiProxy e FortiSwitchManager è stata segnalata da Fortinet tramite un avviso d...
Secondo un rapporto pubblicato di recente dal Financial Crimes Enforcement Network (FinCEN), l’attività globale del ransomware ha raggiunto il picco nel 2023, per poi crollare nel 2024. Questo calo...
Siamo connessi, connessi a tutto, iperconnessi. La nostra vita professionale e sociale è scandita da deadline strettissime e da un’asticella che viene continuamente alzata, dobbiamo spingere. Ci im...
Il Centro Congressi Frentani ospiterà il 12 dicembre la conferenza “Cybercrime, Artificial Intelligence & Digital Forensics”, l’evento annuale organizzato da IISFA – Associazione Italiana...
