Connect with us

Sicurezza Informatica

Accuse per l’admin di Phobos e decryptor contro ShrinkLocker

L’admin del ransomware Phobos è stato estradato e accusato negli USA mentre Bitdefender rilascia un decryptor per ShrinkLocker.

Published

on

Due sviluppi recenti evidenziano la continua lotta contro i ransomware: l’estradizione di un presunto amministratore del ransomware Phobos negli Stati Uniti e il rilascio di un decryptor per ShrinkLocker, un malware che sfrutta BitLocker. Questi eventi sottolineano i rischi legati alla criminalità informatica e le risposte tecnologiche e legali per contrastarla.

Accusa dell’amministratore di Phobos ransomware dopo l’estradizione dalla Corea del Sud

Evgenii Ptitsyn, cittadino russo e sospettato amministratore dell’operazione Phobos ransomware, è stato estradato dalla Corea del Sud agli Stati Uniti. Il ransomware Phobos, parte del modello ransomware-as-a-service (RaaS), è noto per colpire reti aziendali e istituzionali sfruttando credenziali rubate e lasciando richieste di riscatto sotto forma di note minatorie.

Secondo il Dipartimento di Giustizia statunitense, Phobos ha compromesso oltre 1.000 enti pubblici e privati, estorcendo più di 16 milioni di euro. Gli affiliati usavano la piattaforma per accedere a payload di ransomware e chiavi di decrittazione, mentre Ptitsyn e altri amministratori gestivano un sito darknet per coordinare la vendita di ransomware.

Le accuse includono frode telematica, estorsione e hacking, con pene che possono arrivare a 20 anni per ogni reato. Ptitsyn, che operava con i nickname “derxan” e “zimmermanx”, avrebbe anche trasferito i pagamenti in criptovalute dai wallet affiliati ai propri conti.

Questa operazione dimostra l’importanza della collaborazione internazionale nella lotta contro il crimine informatico. Nicole M. Argentieri, del Dipartimento di Giustizia, ha elogiato la Corea del Sud per il suo ruolo nel facilitare l’estradizione.

Decryptor Bitdefender contro ShrinkLocker: nuova speranza per le vittime di BitLocker

ShrinkLocker è un ransomware rilevato nel 2024 che sfrutta BitLocker, il sistema di crittografia nativo di Windows, per bloccare i dati delle vittime. A differenza di altre varianti più sofisticate, ShrinkLocker si basa su tecniche obsolete e codici riproposti, ma ha comunque colpito con successo aziende, inclusi settori come quello sanitario.

The ShrinkLocker attack chain
Fonte: Bitdefender

Il malware utilizza una password generata casualmente per configurare BitLocker, eliminando i meccanismi di protezione che consentirebbero il recupero delle chiavi. Questo metodo rende difficile la decrittazione, ma Bitdefender ha sviluppato un decryptor gratuito per contrastarlo.

BitLocker schermo visualizzato dalla vittima
Fonte: Bitdefender

Il tool sfrutta una finestra temporale poco dopo l’attacco, quando le configurazioni di BitLocker non sono ancora completamente sovrascritte. Funziona su Windows 10, 11 e server recenti, offrendo una soluzione a vittime che altrimenti avrebbero perso l’accesso ai propri dati.

Decryptor recupera ShrinkLocker BitLocker password
fonte: Bitdefender

ShrinkLocker si propaga attraverso policy di gruppo e attività pianificate, colpendo intere reti aziendali. La crittografia avviene rapidamente, spesso in meno di tre ore, causando gravi interruzioni operative.

Un futuro contro i ransomware

Gli sviluppi sopra descritti mostrano progressi nella lotta contro i ransomware, ma evidenziano anche l’evoluzione costante delle minacce. L’estradizione di Ptitsyn dimostra che i cybercriminali non possono sfuggire alla giustizia internazionale ed il caso di Phobos non è il primo, mentre il decryptor ShrinkLocker di Bitdefender rappresenta un importante strumento per mitigare i danni causati dai ransomware.