Microsoft ha scoperto diverse campagne ransomware messe a segno dal gruppo DEV-0270, anche noto come Nemesis Kitten, probabilmente per conto del governo iraniano. La catena di infezione è simile a quelle di altri attacchi, ma con una sostanziale differenza. I cybercriminali hanno sfruttato la nota funzionalità BitLocker di Windows per cifrare i file. Ovviamente hanno chiesto il pagamento di un riscatto, minacciando la pubblicazione dei dati.
Attacco ransomware con BitLocker
L’accesso iniziale avviene sfruttando vulnerabilità di Exchange o Fortinet. Successivamente vengono raccolte varie informazioni su computer, controller di dominio e rete. I cybercriminali passano quindi al furto delle credenziali, utilizzando i tool del sistema operativo (che non sono bloccati dagli antivirus), tra cui WDigest.
Per mantenere la persistenza nella rete viene creato un nuovo account con privilegi di amministratore, modificato il registro per consentire le connessioni RDP (Remote Desktop Protocol), aggiunta una regola al firewall e creata un’attività pianificata eseguita all’avvio del computer.
I cybercriminali usano varie tecniche di elusione, come la disattivazione della protezione in tempo reale di Microsoft Defender. Alla fine viene eseguito un file batch con comandi PowerShell che attivano la crittografia con BitLocker. In alcuni casi è stato usato il tool open source DiskCryptor. Dopo circa due giorni dall’accesso iniziale viene chiesto un riscatto di 8.000 dollari. Se non viene pagato, i dati sono messi in vendita nel dark web.
Microsoft consiglia innanzitutto di installare gli aggiornamenti di Exchange e Windows. Gli utenti dovrebbero inoltre creare backup offline e utilizzare una soluzione di sicurezza completa con antivirus e firewall.