Partiamo da un punto: non è una novità e anzi, i primi utilizzi illegittimi di BitLocker risalgono al 2015. Non è una novità neppure l'uso di tool e strumenti legittimi a fini illegittimi: l'esempio più facile ce lo fornisce la parabola dei miner di criptovalute che hanno debuttato come strumento legittimo per poi venire vietati dalla maggior parte degli app Store e bloccati dai browser più popolari a causa del dilagante impiego a finalità illegali.
Torniamo sul punto perché, ma neppure questa è una novità, una minaccia già conosciuta da anni torna a colpire in Italia e, viste le richieste di supporto ricevute in questi giorni (che sia in atto una campagna mirata contro utenti italiani?), è utile rinfrescare la memoria.
BitLocker: cosa è, a cosa serve
Partiamo dall'origine: BitLocker è la soluzione di criptazione che Microsoft ha integrato in Windows come forma estrema di protezione dei dati da accessi illegittimi. BitLocker consente infatti di criptare singole partizioni, volumi interi o unità: se all'avvio del sistema operativo o all'accesso al drive criptato l'utente non fornisce la password di criptazione, i file non saranno visibili.
NB: parliamo di BitLocker, ma le stesse tematiche affliggono tutti i tool simili. Uno molto popolare, in questo caso opensource, ma che ha le stesse funzionalità, è DiskCryptor.
BitLocker usato a "mò di ransomware"
La logica è chiara: se la criptazione viene effettuata illegittimamente da un soggetto terzo che ha avuto accesso al dispositivo o alla rete, l'utente non avrà a disposizione la password. Su questo presupposto un attaccante può basare l'estorsione, secondo la più classica delle modalità: se vuoi tornare in possesso dei tuoi file (ovvero ricevere la password e/o la chiave di criptazione privata) paga un riscatto, altrimenti cancelleremo i tuoi file.
 |
| Un server bloccato dall'uso illegittimo di BitLocker |
Insomma, siamo di fronte ad un'infezione ransomware in piena regola senza però l'utilizzo di alcun ransomware, fatto che porta un grande vantaggio all'attaccante: essendo BitLocker uno strumento legittimo, è molto probabile che ne gli strumenti anti malware e anti ransomware di Windows e di altre soluzioni di sicurezza saranno in grado di individuare e bloccare la minaccia. Le soluzioni di sicurezza infatti non ravviseranno alcun segnale di attacco, quindi non interverranno ne a sospendere l'attività di BitLocker ne ad allertare l'utente. Basterà eseguire codice dannoso, magari sfruttando vulnerabilità presenti in altri software, per usare l'utilità di sistema manage-bde di BitLocker da riga di comando per cifrare i dati degli utenti.
Ospedale belga subisce la criptazione con BitLocker
Recentemente ha avuto un certo risalto l'attacco ransomware subito verso la fine di Gennaio dalla struttura ospedaliera bela CHwapi: 40 i server criptati, 100 TB di dati criptati usando solo BitLocker di Windows. Un danno di proporzioni tali da aver paralizzato l'infrastruttura IT dell'ospedale e costretto temporaneamente la direzione a spostare i pazienti verso altri ospedali e cancellare le operazioni chirurgiche fissate.
In ogni cartella criptata è stata lasciata una nota di riscatto, nella quale la direzione ospedaliera viene invitata a contattare via Bitmessage gli attaccanti per decriptare i file.
 |
| La nota di riscatto presentata all'ospedale belga. Fonte: bleepingcomputer.com |
Nessun commento:
Posta un commento