Redazione RHC : 18 Novembre 2024 07:33
Bitdefender ha rilasciato uno strumento per decrittografare i file colpiti dagli attacchi ransomware ShrinkLocker. Questo malware utilizza lo strumento BitLocker integrato di Windows per bloccare i file delle vittime.
Ricordiamo che ShrinkLocker è stato scoperto nella primavera del 2024. Come dissero allora gli esperti di sicurezza informatica di Kaspersogo Lab, per sferrare gli attacchi gli aggressori crearono uno script dannoso in VBScript (un linguaggio utilizzato per automatizzare le attività sui computer che eseguono Windows). Questo script controlla quale versione di Windows è installata sul dispositivo e attiva BitLocker di conseguenza. Allo stesso tempo il malware è in grado di infettare sia le nuove che le vecchie versioni del sistema operativo, fino a Windows Server 2008.
Come riportato da Bitdefender, il malware è molto probabilmente una rielaborazione di un innocuo codice vecchio di decenni utilizzando VBScript e generalmente utilizza metodi obsoleti. I ricercatori notano che gli operatori di ShrinkLocker sembrano non qualificati, utilizzano codice ridondante, commettono errori di battitura, lasciano registri di file di testo e si affidano principalmente a strumenti semplici e facilmente disponibili.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Tuttavia, questi hacker hanno un record di attacchi riusciti contro obiettivi aziendali. Ad esempio, nel suo rapporto, Bitdefender parla di un attacco ShrinkLocker contro un’organizzazione sanitaria anonima, durante il quale gli aggressori hanno crittografato dispositivi con Windows 10, Windows 11 e Windows Server sull’intera rete (inclusi i backup). In questo caso, il processo di crittografia dei dati ha richiesto circa 2,5 ore e ha comportato la perdita da parte dell’organizzazione dell’accesso ai sistemi critici, il che avrebbe potuto ostacolare la cura dei pazienti.
Bitdefender ci ricorda come si presenta tipicamente un attacco ShrinkLocker: in primo luogo, il malware esegue una query WMI (Strumentazione gestione Windows) per verificare se BitLocker è disponibile sul sistema di destinazione e lo installa se necessario. Il ransomware rimuove quindi tutte le protezioni standard che impediscono la crittografia del disco. Per velocizzare le cose, usa il flag -UsedSpaceOnlyper forzare BitLocker a crittografare solo lo spazio su disco utilizzato.
La password casuale viene generata in base al traffico di rete e ai dati di utilizzo della memoria, quindi non esistono modelli che consentano la forza bruta. Lo script rimuove e riconfigura inoltre tutte le protezioni BitLocker per rendere più difficile il recupero delle chiavi di crittografia.
“I protettori sono meccanismi utilizzati da BitLocker per proteggere la chiave di crittografia. Questi possono includere la sicurezza hardware come TPM, nonché la sicurezza software come password e chiavi di ripristino. Rimuovendo tutta la protezione, lo script cerca di rendere impossibile il recupero dei dati o la decrittografia del disco”, spiega Bitdefender.
Per propagarsi, ShrinkLocker utilizza oggetti Criteri di gruppo (GPO) e attività pianificate, modifica le impostazioni dei criteri di gruppo sui controller di dominio Active Directory e crea attività per tutte le macchine aggiunte al dominio per garantire che tutte le unità sulla rete compromessa siano crittografate. Gli specialisti di Bitdefender hanno preparato e pubblicato uno strumento per decrittografare i dati colpiti da attacchi ransomware. Questo strumento modifica la sequenza di rimozione e riconfigurazione delle protezioni BitLocker.
Secondo i ricercatori, hanno identificato “una specifica finestra di opportunità per il recupero dei dati immediatamente dopo la rimozione delle protezioni dalle unità crittografate BitLocker”, che consente di decrittografare e recuperare la password impostata dagli aggressori. Di conseguenza, il processo di crittografia può essere invertito e i dischi possono essere riportati allo stato precedente, non crittografato.
Il decryptor funziona solo su Windows 10, Windows 11 e le ultime versioni di Windows Server. Va sottolineato che è più efficace immediatamente dopo un attacco ransomware, quando le impostazioni di BitLocker non sono state ancora completamente modificate e possono ancora essere ripristinate.
Redazione“Il sistema di difesa militare Skynet entrerà in funzione il 4 agosto 1997. Comincerà ad autoistruirsi imparando a ritmo esponenziale e diverrà autocosciente alle 2:14 del giorno...
Un nuovo strumento per disabilitare i sistemi EDR è apparso nell’ambiente dei criminali informatici , che gli esperti di Sophos ritengono essere un’estensione dell’utility ED...
Una vulnerabilità di WinRAR recentemente chiusa monitorata con il codice CVE-2025-8088 è stata sfruttata in attacchi di phishing mirati prima del rilascio della patch. Il problema era un Dir...
Alla conferenza Black Hat di Las Vegas, VisionSpace Technologies ha dimostrato che è molto più facile ed economico disattivare un satellite o modificarne la traiettoria rispetto all’u...
Una falla di sicurezza cruciale nell’HTTP/1.1 è stata resa pubblica dagli esperti di sicurezza, mettendo in luce una minaccia che continua ad impattare sull’infrastruttura web da pi...
