Strumenti legittimi usati a fini di cybercrime

Partiamo da un punto: non è una novità e anzi, i primi utilizzi illegittimi di BitLocker risalgono al 2015. Non è una novità neppure l’uso di tool e strumenti legittimi a fini illegittimi: l’esempio più facile ce lo fornisce la parabola dei miner di criptovalute che hanno debuttato come strumento legittimo per poi venire vietati dalla maggior parte degli app Store e bloccati dai browser più popolari a causa del dilagante impiego a finalità illegali.

Torniamo sul punto perché, ma neppure questa è una novità, una minaccia già conosciuta da anni torna a colpire in Italia e, viste le richieste di supporto ricevute in questi giorni (che sia in atto una campagna mirata contro utenti italiani?), è utile rinfrescare la memoria.

BitLocker: cosa è, a cosa serve
Partiamo dall’origine: BitLocker è la soluzione di criptazione che Microsoft ha integrato in Windows come forma estrema di protezione dei dati da accessi illegittimi. BitLocker consente infatti di criptare singole partizioni, volumi interi o unità: se all’avvio del sistema operativo o all’accesso al drive criptato l’utente non fornisce la password di criptazione, i file non saranno visibili.

NB: parliamo di BitLocker, ma le stesse tematiche affliggono tutti i tool simili. Uno molto popolare, in questo caso opensource, ma che ha le stesse funzionalità, è DiskCryptor.

BitLocker usato a “mò di ransomware”
La logica è chiara: se la criptazione viene effettuata illegittimamente da un soggetto terzo che ha avuto accesso al dispositivo o alla rete, l’utente non avrà a disposizione la password. Su questo presupposto un attaccante può basare l’estorsione, secondo la più classica delle modalità: se vuoi tornare in possesso dei tuoi file (ovvero ricevere la password e/o la chiave di criptazione privata) paga un riscatto, altrimenti cancelleremo i tuoi file.

Insomma, siamo di fronte ad un’infezione ransomware in piena regola senza però l’utilizzo di alcun ransomware, fatto che porta un grande vantaggio all’attaccante: essendo BitLocker uno strumento legittimo, è molto probabile che ne gli strumenti anti malware e anti ransomware di Windows e di altre soluzioni di sicurezza saranno in grado di individuare e bloccare la minaccia. Le soluzioni di sicurezza infatti non ravviseranno alcun segnale di attacco, quindi non interverranno ne a sospendere l’attività di BitLocker ne ad allertare l’utente. Basterà eseguire codice dannoso, magari sfruttando vulnerabilità presenti in altri software, per usare l’utilità di sistema manage-bde di BitLocker da riga di comando per cifrare i dati degli utenti.

Strumenti legittimi usati a fini di cybercrime

Bersaglio prediletto di questo tipo di attacchi sembrano essere i server Windows, acceduti illegittimamente via RDP.