ShrinkLocker sconfitto: arriva il contrattacco di Bitdefender

ha rilasciato un decriptatore per il ransomware ShrinkLocker, scoperto a maggio 2024, che sfrutta BitLocker di Windows per cifrare i drive dei sistemi colpiti.

A differenza dei moderni ransomware, ShrinkLocker non utilizza algoritmi di crittografia sofisticati, ma modifica le configurazioni di BitLocker per cifrare i drive del sistema. Il malware controlla se BitLocker è abilitato e, in caso contrario, lo installa. Successivamente, ricifra il sistema usando una password generata casualmente, che viene caricata su un server controllato dall’attaccante.

ShrinkLocker disabilita le protezioni predefinite per prevenire la cifratura accidentale e utilizza il flag ‘-UsedSpaceOnly’ per una cifratura più rapida dello spazio disco occupato. La password casuale viene generata dal traffico di rete e dai dati in memoria, rendendo difficile il brute-forcing. Il malware elimina e riconfigura anche i protettori di BitLocker, complicando il recupero delle chiavi di cifratura.

Bitdefender ha osservato un attacco a un’organizzazione sanitaria, dove gli aggressori hanno cifrato dispositivi Windows 10, Windows 11 e Windows Server, inclusi i backup, in sole 2,5 ore. L’azienda ha perso l’accesso a sistemi critici, potenzialmente ostacolando l’assistenza ai pazienti.

Bitdefender ha, quindi, rilasciato ora un tool di decrittazione gratuito per aiutare le vittime a recuperare i loro file. “Abbiamo identificato una specifica finestra di opportunità per il recupero dei dati subito dopo la rimozione dei protettori dai dischi cifrati con BitLocker”, afferma Bitdefender.

Per prevenire attacchi simili, le organizzazioni possono:

  • Monitorare proattivamente i log degli eventi di Windows, in particolare quelli da “Microsoft-Windows-BitLocker-API/Management”
  • Configurare le Group Policy per memorizzare le informazioni di recupero di BitLocker in Active Directory Domain Services
  • Applicare la policy “Non abilitare BitLocker finché le informazioni di recupero non sono memorizzate in AD DS per le unità del sistema operativo”

Queste misure possono aiutare a rilevare le prime fasi degli attacchi BitLocker e prevenire la cifratura non autorizzata, riducendo il rischio di attacchi basati su BitLocker.