ShrinkLocker, nuovo ransomware che sfrutta BitLocker per criptare i dati
Gli hacker si basano su uno script maligno in grado di verificare la versione installata del sistema operativo Windows.
ShrinkLocker è il nuovo malware di cui parlano gli esperti del settore. Si tratta di un ransomware che sfrutta la funzionalità di sicurezza di BitLocker di Microsoft per criptare file aziendali.
Per questo, gli hacker creano uno script maligno con il linguaggio di programmazione VBScript che verifica la versione installata di Windows e successivamente abilita BitLocker.
La sua capacità di infezione interessa sia i sistemi nuovi sia quelli ereditati, fino a Windows Server 2008.
Lo script altera la configurazione di avvio per passare alla cifratura dei dischi. Stabilisce una nuova partizione ed elimina le opzioni di recupero. ShrinkLocker è poi in grado di cancellare registri e file per eliminare ogni traccia.
Alla fine, provoca lo spegnimento del sistema, mostrando alle vittime il messaggio “Non ci sono più opzioni di ripristino di BitLocker sul tuo pc”.
“La cosa più preoccupante di questo scenario è che BitLocker, progettato originariamente per mitigare i rischi di furto o esposizione di dati, è stato riutilizzato dagli hacker con fini maligni”, osserva Cristian Souza, specialista del team di Kaspersky Global Emergency Response. “È amaramente ironico che una misura di sicurezza ora sia stata trasformata in un’arma”.
“Per le imprese che utilizzano BitLocker, è cruciale garantire password sicure e un’archiviazione sicura delle chiavi di recupero”, commenta Souza. “Eventuali back-up periodici di sicurezza, senza connessione e controllati, sono anch’essi misure essenziali”.
Gli hacker dietro a ShrinkLocker hanno già lanciato attacchi ad alcune acciaierie, case di produzione vaccini e organismi governativi.