ShrinkLocker: attenzione al ransomware che usa BitLocker per crittografare i file della vittima

Author: Hardware Upgrade

Un nuovo e insidioso ceppo di ransomware, battezzato ShrinkLocker,
sta causando preoccupazione le aziende, in particolare quelle della
manifattura e della produzione di vaccini, e le organizzazioni
governative.

Si tratta di un malware che ha la capacità di ridurre le partizioni non
di avvio per creare nuovi volumi – da cui il nome ShrinkLocker – e utilizza
la funzionalità di crittografia BitLocker di Windows per crittografare i
file.

L’utilizzo di BitLocker a scopi dannosi è già stato riscontrato in
passato: in precedenza un attore di minaccia aveva sfruttato la
funzionalità per crittografare enormi quantità di dati, come nel caso di
un ospedale belga che ha visto 100 TB di informazioni su 40 server cadere
nelle mani di un aggressore informatico. Allo stesso modo un produttore e
distributore di carne con sede a Mosca ha subito un attacco simile.
Persino Microsoft ha lanciato l’allarme nel settembre 2022, avvertendo che
un aggressore supportato allo stato iraniano aveva utilizzato BitLocker
per crittografare sistemi che eseguivano Windows 10, Windows 11 o Windows
Server 2016 e versioni successive.

I ricercatori Kaspersky hanno analizzato
ShrinkLocker rilevando una serie di funzionalità in precedenza non
ancora osservate nelle minacce che usano BitLocker a scopi dannosi, 
e che hanno l’obiettivo di “massimizzare la portata dell’attacco”. Il
ransomware è realizzato in VBScript, linguaggio introdotto da
Microsoft nel 1996 e ora in fase di abbandono, e mostra una particolare
sofisticazione.

In particolare ShrinkLocker ha la capacità di individuare la versione
specifica di Windows in esecuzione sul sistema preso di mira, sfruttando
la strumentazione di gestione di Windows con la classe
Win32_OperatingSystem. Se vengono soddisfatti requisiti specifici
ShrinkLocker prosegue con la sua attività, altrimenti il ransomware si
auto-termina e si cancella dal sistema.

Nel caso in cui l’attacco prosegua, il ransomware usa l’utility
diskpart di Windows per sottrarre circa 100MB da ogni partizione non
di avvio presente sui dischi e divide lo spazio non allocato in nuovi
volumi primari della stessa dimensione. A questo punto viene usato BCDEdit
da riga di comando allo scopo di reinstallare i file di avvio sulle
partizioni appena create. ShrinkLocker si occupa poi di modificare le voci
del registro di Windows per disabilitare le connessioni remote desktop o
per abilitare la crittografia BitLocker su sistemi senza chip TPM. 

A differenza di quanto avviene comunemente con altri ransomware, non
viene salvato alcun file contenente le indicazioni per il pagamento del
riscatto, ma viene inserito un indirizzo e-mail di contatto come etichetta
delle nuove partizioni di avvio. L’etichetta però passerà per lo più
inosservata fino a quando il sistema non viene avviato usando un ambiente
di ripristino o mediante strumenti diagnostici, rendendola così evidente.

Al termine delle operazioni di crittografia delle unità, ShrinkLocker
elimina le protezioni BitLocker, come ad esempio le funzioni TPM,
eventuali PIN, la chiave di avvio, la password, la password di ripristino
e la chiave di ripristino, così da impedire alla vittima qualsiasi opzione
per poter recuperare la chiave di crittografia di BitLocker, che viene
invece inviata all’autore dell’attacco.

La chiave generata per crittografare i file è una combinazione di 64
caratteri a moltiplicazione casuale e sostituzione di una variabile con
numeri da 0 a 9, caratteri speciali e il pangramma “The quick brown fox
jumps over the lazy dog”. La chiave viene fornita mediante lo strumento
TryCloudflare, un servizio del tutto legittimo che permette a chiunque di
sperimentare il Tunnel di CloudFlare senza dover aggiungere un sito al DNS
di CloudFlare.

Resta l’ultima fase dell’attacco, in cui il ransomware forza l’arresto
del sistema così che tutte le modifiche possano avere effetto: al riavvio
l’utente si troverà tutte le unità bloccate e senza la possibilità di
accedere alle opzioni di ripristino messe a disposizione da BitLocker.

I ricercatori sottolineano che nonostante BitLocker consenta di creare un
messaggio personalizzato per le schermate di ripristino – dove sarebbe
stato semplice e ideale inserire le istruzioni per il pagamento del
riscatto e il recupero dell informazioni – l’attore di minaccia ha
preferito occultare un indirizzo email come etichetta delle unità, come
spiegato in precedenza. Questo potrebbe indicare la volontà di condurre un
attacco a scopo distruttivo e non con l’obiettivo di estorcere denaro
alla vittima.