BitLocker usato come ransomware per bloccare l’agenzia idrica rumena

Nel corso del fine settimana, l’Agenzia Nazionale delle Acque della Romania (Administrația Națională Apele Române), ente responsabile della gestione delle risorse idriche del Paese, è stata colpita da un attacco ransomware che ha compromesso circa 1.000 postazioni informatiche distribuite su 10 delle 11 sedi regionali dell’agenzia. L’incidente ha reso indisponibili sistemi essenziali, inclusi email, database, siti web istituzionali e sistemi GIS (Geographic Information Systems), fondamentali per il monitoraggio e il coordinamento delle infrastrutture idriche.

L’attacco rappresenta un esempio emblematico di una tendenza in crescita: l’utilizzo di strumenti di sicurezza nativi del sistema operativo come vettori di estorsione. In questo caso, gli aggressori non hanno introdotto un ransomware tradizionale, ma hanno sfruttato Microsoft BitLocker, trasformando un meccanismo di protezione dei dati in un’arma di denial-of-access.

Perché BitLocker è attraente per gli attaccanti

BitLocker è integrato nativamente in Windows 10 e 11 (edizioni Pro, Enterprise ed Education) e consente la cifratura completa dei volumi tramite AES. Dal punto di vista offensivo, BitLocker offre diversi vantaggi:

• Assenza di payload malevoli custom: non è necessario distribuire un binario ransomware.
• Ridotta superficie di rilevamento: l’attivazione di BitLocker non genera meccanismi di allerta.
• Cifratura immediata e robusta: AES con protezione TPM o password.
• Persistenza: senza la recovery key, l’accesso ai dati è di fatto impossibile.

Sono caratteristiche che rendono BitLocker particolarmente efficace negli ambienti in cui la gestione delle chiavi non è centralizzata o verificata. E dal momento che Windows, quando installato da zero, tende ad attivare BitLocker senza informare gli utenti, abbiamo spiegando il perché di come la sicurezza di default derivante da BitLocker possa diventare un rischio per la disponibilità dei dati.

Prerequisiti tecnici per l’abuso di BitLocker

L’attivazione forzata di BitLocker richiede privilegi amministrativi locali o equivalenti a livello di dominio. Le condizioni più comuni che rendono possibile l’attacco includono la compromissione di un account amministratore di dominio, l’escalation di privilegi tramite vulnerabilità locali, l’uso di credenziali riutilizzate o hardcoded, l’accesso a sistemi di gestione remota.

Una volta ottenuto il controllo amministrativo, l’attaccante può abilitare BitLocker su larga scala sfruttando strumenti legittimi come:

• manage-bde.exe
• PowerShell (Enable-BitLocker)
• Group Policy Objects (GPO)

La catena di attacco

Sebbene le autorità non abbiano divulgato dettagli tecnici, una catena d’attacco plausibile è un’aggressione cominciata con phishing mirato, exploit di servizi esposti (VPN, RDP) o compromissione di un fornitore terzo.

Gli aggressori potrebbero quindi aver attivato un movimento laterale avvalendosi di strumenti come PsExec, WMI o PowerShell Remoting per “farsi largo” nella rete. È verosimile, quindi, che abbiano effettuato il dump delle credenziali (LSASS) o abusato di token Kerberos.

A questo punto, potrebbero aver abilitato BitLocker in modo simultaneo su centinaia di endpoint tramite script centralizzati procedendo quindi con l’esfiltrazione e la distruzione delle recovery key.

L’attacco includeva un messaggio con cui si concedevano all’agenzia sette giorni di tempo per stabilire un contatto, comportamento tipico di operazioni ransomware orientate a estorcere un riscatto.

Contesto europeo e rischi per le infrastrutture critiche

Sebbene l’incidente rumeno non abbia causato danni fisici immediati, recenti episodi europei evidenziano il potenziale impatto di attacchi simili. Nel 2024, la manipolazione dei controlli della pressione idrica a Køge, in Danimarca, ha provocato rotture di tubature e interruzioni temporanee della fornitura. L’attacco è stato attribuito al gruppo pro-Russia Z-Pentest, mentre l’anno successivo siti elettorali danesi sono stati bersaglio di attacchi DDoS legati al gruppo NoName057(16).

Anche la Germania ha recentemente convocato l’ambasciatore russo in seguito a incidenti informatici che hanno coinvolto sistemi elettorali e di controllo del traffico aereo.

Lo scenario evidenzia come la sicurezza informatica delle infrastrutture critiche sia spesso in ritardo rispetto alle priorità IT generali. L’equilibrio tra protezione e continuità operativa rappresenta una sfida costante, con interventi correttivi che arrivano frequentemente solo dopo eventi significativi.