Un recente rapporto di Kaspersky, rinomata azienda nel settore della sicurezza informatica, ha messo in luce un nuovo ransomware, denominato ShrinkLocker.
Questo ransomware utilizza BitLocker, una funzionalità nativa di Windows, per criptare i dati delle vittime.
Secondo le indagini condotte da Kaspersky, ShrinkLocker ha già colpito sistemi in Messico, Indonesia e Giordania. La sua caratteristica distintiva è la gestione dello spazio su disco: riduce ogni partizione non di avvio a 100 MB, utilizzando lo spazio liberato per creare nuove partizioni primarie della stessa dimensione.
Modalità di Attacco e Protezioni
L’attacco di ShrinkLocker inizia con l’esecuzione di uno script in VisualBasic, che utilizza il Windows Management Instrumentation e la classe Win32_OperatingSystem per ottenere informazioni sul sistema operativo.
Se lo script rileva sistemi operativi più datati come Windows XP, 2000, 2003 o Vista, si auto-elimina per evitare di essere eseguito su piattaforme non previste dall’attacco.
Il principale obiettivo del ransomware è criptare i dati su unità locali fisse, evitando intenzionalmente le unità di rete per non attivare i sistemi di rilevamento delle minacce. Dopo aver ridimensionato le partizioni del disco, ShrinkLocker disabilita ed elimina le protezioni predefinite di BitLocker, sostituendole con una password numerica. Questo rende impossibile per i proprietari dei dispositivi recuperare le chiavi di cifratura perdute.
La creazione della chiave di cifratura da parte di ShrinkLocker è particolarmente ingegnosa: genera una password di 64 caratteri combinando numeri, lettere (sia maiuscole che minuscole) e caratteri speciali.
Una volta criptati i dati, al riavvio del dispositivo appare una schermata di BitLocker che richiede la chiave per il recupero dei dati. Senza la chiave, in mano ai criminali informatici, recuperare i dati è estremamente difficile, se non impossibile, poiché la chiave è unica per ogni dispositivo infettato.
Misure Preventive e Backup in Cloud
Suggeriamo appunto, diverse misure preventive per affrontare questa minaccia: ad esmepio, soluzioni di protezione per endpoint ben configurate, implementare servizi di rilevamento e risposta gestiti (MDR), assicurarsi che BitLocker sia protetto da una password robusta e conservare le chiavi di recupero in un luogo sicuro.
È inoltre importante limitare i privilegi degli utenti per prevenire manipolazioni non autorizzate delle funzionalità di crittografia e dei registri di sistema.
Effettuare backup regolari, altamente consigliato è l’utilizzo di servizi di backup dati in cloud. Questi servizi offrono un ulteriore livello di protezione, poiché i dati vengono memorizzati in una posizione remota e sicura, rendendo più semplice il ripristino in caso di attacco ransomware. In caso di infezione, monitorare e registrare il traffico di rete può aiutare a identificare richieste sospette che potrebbero contenere password o chiavi. Maggiori Dettagli qui.
Cosa ne penso
La sicurezza informatica è sicuramente una lotta continua. Tutto parte da misure preventive che un azienda a suo modo deve poter implementare quanto prima.
Quello che consiglio a tutte le aziende è in primis di munirsi di backup dati in cloud.
Tale operazione è il primo passo per assicurarsi di non vedere per sempre smarriti i propri dati.
Sicuramente il backup è il primo passo, ma ovvio la protezione e la riduzione di questi eventi richiedono un altro tipo di intervento specifico in base al tipo di azienda da proteggere.