mercoledì 3 marzo 2021
Strumenti legittimi usati a fini di cybercrime: BitLocker di Windows usato come ransomware
Partiamo da un punto: non è una novità e anzi, i primi utilizzi illegittimi di BitLocker risalgono al 2015. Non è una novità neppure l'uso di tool e strumenti legittimi a fini illegittimi: l'esempio più facile ce lo fornisce la parabola dei miner di criptovalute che hanno debuttato come strumento legittimo per poi venire vietati dalla maggior parte degli app Store e bloccati dai browser più popolari a causa del dilagante impiego a finalità illegali.
Torniamo sul punto perché, ma neppure questa è una novità, una minaccia già conosciuta da anni torna a colpire in Italia e, viste le richieste di supporto ricevute in questi giorni (che sia in atto una campagna mirata contro utenti italiani?), è utile rinfrescare la memoria.
BitLocker: cosa è, a cosa serve
Partiamo dall'origine: BitLocker è la soluzione di criptazione che Microsoft ha integrato in Windows come forma estrema di protezione dei dati da accessi illegittimi. BitLocker consente infatti di criptare singole partizioni, volumi interi o unità: se all'avvio del sistema operativo o all'accesso al drive criptato l'utente non fornisce la password di criptazione, i file non saranno visibili.
NB: parliamo di BitLocker, ma le stesse tematiche affliggono tutti i tool simili. Uno molto popolare, in questo caso opensource, ma che ha le stesse funzionalità, è DiskCryptor.
BitLocker usato a "mò di ransomware"
La logica è chiara: se la criptazione viene effettuata illegittimamente da un soggetto terzo che ha avuto accesso al dispositivo o alla rete, l'utente non avrà a disposizione la password. Su questo presupposto un attaccante può basare l'estorsione, secondo la più classica delle modalità: se vuoi tornare in possesso dei tuoi file (ovvero ricevere la password e/o la chiave di criptazione privata) paga un riscatto, altrimenti cancelleremo i tuoi file.
Un server bloccato dall'uso illegittimo di BitLocker
Questo, in forma breve, il contenuto della nota di riscatto che comunemente viene rilasciata da chi utilizza BitLocker come un ransomware. Nella foto sotto è possibile vedere tale richiesta, presentata qualche giorno fa ad un nostro assistito, in lingua italiana:
Insomma, siamo di fronte ad un'infezione ransomware in piena regola senza però l'utilizzo di alcun ransomware, fatto che porta un grande vantaggio all'attaccante: essendo BitLocker uno strumento legittimo, è molto probabile che ne gli strumenti anti malware e anti ransomware di Windows e di altre soluzioni di sicurezza saranno in grado di individuare e bloccare la minaccia. Le soluzioni di sicurezza infatti non ravviseranno alcun segnale di attacco, quindi non interverranno ne a sospendere l'attività di BitLocker ne ad allertare l'utente. Basterà eseguire codice dannoso, magari sfruttando vulnerabilità presenti in altri software, per usare l'utilità di sistema manage-bde di BitLocker da riga di comando per cifrare i dati degli utenti.
Bersaglio prediletto di questo tipo di attacchi sembrano essere i server Windows, acceduti illegittimamente via RDP.
Ospedale belga subisce la criptazione con BitLocker
Recentemente ha avuto un certo risalto l'attacco ransomware subito verso la fine di Gennaio dalla struttura ospedaliera bela CHwapi: 40 i server criptati, 100 TB di dati criptati usando solo BitLocker di Windows. Un danno di proporzioni tali da aver paralizzato l'infrastruttura IT dell'ospedale e costretto temporaneamente la direzione a spostare i pazienti verso altri ospedali e cancellare le operazioni chirurgiche fissate.
In ogni cartella criptata è stata lasciata una nota di riscatto, nella quale la direzione ospedaliera viene invitata a contattare via Bitmessage gli attaccanti per decriptare i file.