BitLocker utilizzato anche dagli autori di ransomware

I ransomware sono minacce purtroppo sempre più diffuse. Chi le realizza ha infatti un tornaconto economico diretto perché dopo aver attivato la crittografia del contenuto dell’unità o dei file personali dell’utente usando una chiave segreta ovviamente non condivisa con la vittima chiede il versamento di un riscatto in denaro, spesso in Bitcoin in modo da non rendere tracciabile la transazione.
Si tratta di una vera e propria estorsione: l’utente caduto nella trappola viene invitato a versare il riscatto richiesto entro poche ore per non vedere aumentare ulteriormente la richiesta in denaro o perdere per sempre i propri file.

Nell’articolo Ransomware: cos’è, come proteggersi e recuperare i file cifrati abbiamo visto come funzionano i ransomware mentre nel successivo Backup dei dati e protezione da malware e ransomware con il NAS Synology come superare un eventuale attacco recuperando tutti i propri file, senza sborsare un centesimo.

La novità è che gli sviluppatori di malware stanno iniziando a usare BitLocker e DiskCryptor.
La prima è la soluzione Microsoft integrata in Windows che permette di crittografare singole partizioni, unità e volumi di sistema: BitLocker, come proteggere i dati su hard disk e SSD e chiedere una password all’avvio.
La seconda è un apprezzato prodotto opensource che si propone da anni come alternativa a BitLocker e che è utilizzabile anche nelle edizioni Home di Windows.

Il fatto è che l’utilizzo per finalità malevole di BitLocker e DiskCryptor può passare inosservato ai software per la sicurezza. Si tratta infatti di applicazioni assolutamente legittime che non provocano segnalazioni di allerta da parte del software specializzati.
Ecco quindi che codice malevolo avviato per errore dall’utente sul sistema in uso o eseguito senza interazione alcuna sfruttando una o più vulnerabilità presenti in altri software (nei browser vengono scoperti problemi di sicurezza che in alcune occasioni possono portare all’esecuzione di codice sulla macchina in uso semplicemente visitando una pagina web; se non si aggiorna il browser con tempestività ci si espone al rischio…) può ad esempio usare l’utilità di sistema manage-bde di BitLocker o interagire con DiskCryptor da riga di comando per cifrare i dati dell’utente con una chiave crittografica mantenuta segreta.

È quanto accaduto proprio in questi giorni a una struttura ospedaliera belga (CHwapi) che si è vista cifrare qualcosa come 100 TB di dati conservati in 40 server, almeno stando a quanto sostenuto dagli aggressori.

Per sferrare l’attacco i criminali informatici avrebbero usato proprio BitLocker e DiskCryptor indicando di usare poi la messaggistica di Bitmessage (protocollo peer-to-peer che consente di scambiarsi messaggi senza poggiare su server centralizzati) per concordare l’importo del riscatto.

Mentre in passato alcuni gruppi di criminali informatici avevano dichiarato di voler evitare le aggressioni nei confronti degli ospedali (fornendo gratuitamente il tool di decodifica nei casi in cui ciò avvenisse), alcuni malintenzionati non si fanno alcuno scrupolo, nemmeno in un periodo di emergenza sanitaria globale come quello che stiamo attraversando.