Pericolo ransomware: possono utilizzare EFS in Windows

I ricercatori di SafeBreach hanno notato che i criminali informatici si stanno attrezzando al fine di sviluppare nuovi ransomware che possano passare sempre più inosservati alle soluzioni per la sicurezza.
Come spiegano in questo post, gli esperti hanno scoperto alcuni “prototipi” di malware che sfruttano una funzionalità integrata in Windows per crittografare i dati degli utenti per poi richiedere un riscatto in denaro.

Lo strumento che viene utilizzato si chiama EFS (Encrypting File System) ed è parte integrante del file system NTFS: NTFS, trucchi e segreti del file system più usato con Windows.

Introdotto da Microsoft nei suoi sistemi operativi addirittura ai tempi di Windows 2000, EFS permette di crittografare file e cartelle in modo trasparente. Diversamente rispetto a BitLocker, che consente di crittografare intere unità, con EFS si possono proteggere anche singoli elementi: lo spiegavamo nel 2015 nell’articolo Differenza tra Bitlocker, EFS e Crittografia del dispositivo.

Secondo SafeBreach, che ha condiviso pubblicamente l’iter che i criminali informatici potrebbero seguire mettendo a punto un ransomware basato sull’utilizzo di EFS, il rischio è che un file malevolo – che poi prende in ostaggio i file dell’utente – possa non essere tempestivamente riconosciuto né dalle soluzioni antimalware né dall’utente-vittima.

Gli esperti spiegano che il ransomware dovrebbe generare una chiave crittografica EFS usando una funzione Win32 standard (AdvApi32!CryptGenKey) quindi creare un certificato digitale per la stessa chiave aggiungendolo poi all’elenco dei certificati installati sulla macchina (finestra Windows+R, certmgr.msc).
Sempre usando funzioni standard di Windows contenute nelle librerie Crypt32 e AdvApi32, gli aggressori possono avviare la cifratura dei file personali appartenenti all’utente.

La chiave crittografica può essere salvata dal ransomware in memoria quindi eliminata delle cartelle di sistema %appdata%\Microsoft\Crypto\RSA\sid e %ProgramData%\Microsoft\Crypto\RSA\MachineKeys.

Utilizzando la funzione non documentata FlushEfsCache, disponibile sin da Windows Vista, il ransomware può cancellare il contenuto della cache di EFS e rendere i file cifrati illeggibili sia da parte dell’utente che del sistema operativo.

Da SafeBreach si spiega che alcune tra le più famose soluzioni antimalware non hanno “battuto ciglio” lasciando che i file venissero crittografati sul sistema dell’utente. Dopo aver segnalato il problema ai vari produttori di software per la sicurezza informatica, nel post in questa pagina si possono verificare le risposte ricevute.