BitLocker sfruttato come ransomware: l'idea malsana degli aggressori

Un gruppo di criminali informatici usa BitLocker in Windows come un ransomware: come avviene l'attacco e perché può mettere sotto scacco i dati dati aziende, professionisti e utenti privati.

Microsoft sta puntando molto su BitLocker, tanto che – anche senza che gli utenti ne siano pienamente consapevoli – la funzionalità crittografica risulta sempre più spesso abilitata anche nelle edizioni Home di Windows 10 e Windows 11. Da parte nostra, nonostante lo scotto da pagare in termini di prestazioni, riteniamo che la protezione di BitLocker con PIN all’avvio sia da attivare, ovviamente su tutti quei sistemi che contengono informazioni riservate e dati strettamente personali. Soprattutto dispositivi come notebook e convertibili, che possono essere persi o che possono essere soggetti a furti. Ad ogni modo, con un semplice trucco è possibile evitare l’attivazione di BitLocker durante l’installazione di Windows 11.

I criminali informatici utilizzano BitLocker come ransomware

Se per gli utenti privati BitLocker può essere un inutile fardello, in grado di appesantire il PC, gruppi di criminali informatici hanno iniziato a sfruttare la protezione dati integrata in Windows per trasformarla in un ransomware.

Prendiamo ad esempio il malware ShrinkLocker, recentemente scoperto da Kaspersky. L’attacco inizia con l’avvio di un file VBScript, linguaggio di programmazione ampiamente utilizzato in ambiente Windows (anche e soprattutto per attività di amministrazione) che Microsoft ha intenzione di iniziare ad abbandonare con il rilascio di Windows 11 24H2.

Lo script VBS dannoso, diffuso attraverso diversi canali e presentato come un documento o un file benigno, provvede ad attivare BitLocker sui sistemi Windows Vista, Windows Server 2008 e successivi oppure a modificarne la configurazione (qualora risultasse già abilitato). Se il sistema operativo della vittima fosse troppo vecchio, ShrinkLocker si autodistrugge senza lasciare alcuna traccia.

Chiave crittografica conosciuta soltanto agli aggressori

Facendo leva sulle funzionalità di BitLocker, ShrinkLocker genera una nuova chiave di cifratura e la invia agli aggressori remoti insieme con altre informazioni sul sistema della vittima. Il malware utilizza quindi la funzionalità di Windows a mo’ di ransomware.

Tutte le partizioni presenti sono ridimensionate (da qui il nome della minaccia: “shrink” significa “restringere” in inglese), riducendole di 100 MB per creare una nuova partizione di avvio. Quest’ultima blocca e rende completamente inaccessibili tutte le unità collegate con il PC.

Come spiega Kaspersky, il funzionamento dello script VBS appare mutevole: ve ne sono in circolazione numerose versioni, progettate espressamente per prendere di mira obiettivi di elevato profilo. Enti governativi, industrie manufatturiere e realtà d’impresa di primo piano sono tra i bersagli primari dell’azione dei criminali informatici.

Gli esperti non sono ad oggi riusciti a trovare alcun modo per identificare l’origine dell’attacco o l’identità dei soggetti ai quali le chiavi crittografiche di BitLocker sono automaticamente trasmesse.

Eseguire backup frequenti, limitare i privilegi degli utenti in modo che non possano modificare le impostazioni di sistema o quelle di BitLocker e orientarsi su soluzioni alto livello utili per monitorare e proteggere la rete, rappresentano il migliore approccio per difendersi dalle minacce come quella descritta.

Credit immagine in apertura: iStock.com – asbe

Ti consigliamo anche

Link copiato negli appunti