Heimdal sikkerhedsforskere blev netop informeret om en ny ransomware -stamme, underskrevet af en gruppe kaldet DeepBlueMagic. Tilsyneladende, den nye stamme er ret kompleks, viser innovative tilgange med hensyn til dets filkryptering.
Den kompromitterede enhed, forskerne analyserede, kørte Windows Server 2021 R2. Så, lad os se, hvad der er så anderledes ved den nyopståede DeepBlueMagic ransomware.
Et kig ind i DeepBlueMagic Ransomware
Først og fremmest, ransomware bruger et tredjeparts krypteringsværktøj kaldet BestCrypt Volume Encryption af Jetico. I stedet for først at kryptere filer på offerets system, ransomware målrettede først forskellige diskdrev på serveren, med undtagelse af systemdrevet placeret i “C:\"Partition)."
"" BestCrypt Volume Encryption "var stadig til stede på den tilgængelige disk, C, sammen med en fil med navnet "rescue.rsc", en redningsfil, der sædvanligvis bruges af Jeticos software til at gendanne partitionen i tilfælde af skade. Men i modsætning til den legitime brug af softwaren, selve redningsfilen blev også krypteret af Jeticos produkt, ved hjælp af den samme mekanisme, og kræver et kodeord for at kunne åbne det,”Forklarede Heimdal.
Dette er ikke den sædvanlige modus operandi, der bruges af de fleste ransomware -familier derude. De fleste ransomware -infektioner fokuserer på kryptering af filer.
“Yderligere analyse afslørede, at krypteringsprocessen blev startet med Jeticos produkt, og stoppede lige efter starten. Derfor, efter denne go-around proces, drevet var kun delvist krypteret, med bare volumenoverskrifterne påvirket. Krypteringen kan enten fortsættes eller gendannes ved hjælp af redningsfilen i Jeticos "BestCrypt Volume Encryption", men den fil blev også krypteret af ransomware -operatørerne,”Tilføjede rapporten.
DeepBlueMagic ransomware slettede også Volume Shadow -kopier for at sikre, at filgendannelse ikke er mulig. Da det blev opdaget på et Windows server -operativsystem, ransomware forsøgte også at aktivere Bitlocker på alle slutpunkter i det aktive bibliotek.
"Uheldigvis, ransomware slettede også ethvert spor af den originale eksekverbare fil selv, undtagen sporene efter det legitime Jetico-værktøj. Det betyder, at vi ikke fik en prøve af det denne gang, så vi kan udføre flere analyser af det i et sikkert virtuelt maskinmiljø,”Tilføjede Heimdal. Heldigvis, de oplysninger, forskerne fik, var nok til at udarbejde en teknisk rapport om hændelsen og ransomwareens egenskaber.
Hvad med DeepBlueMagics løsesum?
Det blev droppet på skrivebordet i en tekstfil kaldet "Hej verden." Her er hvad der står, med nogle detaljerede redigeringer af sikkerhedsmæssige årsager:
Hej. Din virksomheds server harddisk er krypteret med os.
Vi bruger de mest komplekse krypteringsalgoritme (AES256). Kun vi kan dekryptere.
Kontakt os venligst: [e-mail-adresse 1] (Kontroller spam, Undgå manglende post)
identifikationskode: ******** (Fortæl os identifikationskode)
Kontakt os og vi vil fortælle dig mængden af løsesum, og hvordan man løn.
(Hvis kontakten er hurtig, vi vil give dig en rabat.)
Efter betalingen er vellykket, Vi vil fortælle dekryptere adgangskode.
For at du til at tro på os, Vi har forberedt test-serveren. Kontakt os og vi vil fortælle test server og dekryptere adgangskoden.
Du må ikke scanne krypterede harddiske eller forsøge at gendanne data. Undgå datakorruption.
!!!
Hvis vi ikke reagerer. Kontakt venligst en alternativ postkasse: [e-mail-adresse 2] Vi vil gøre det muligt for alternative postkasse, hvis den første postkasse ikke fungerer korrekt.
!!!
Den gode nyhed er, at det er muligt delvis at omgå denne ransomware, i hvert fald i tilfælde af den kompromitterede server Heimdal analyseret.
“Den berørte server blev gendannet på grund af, at ransomware kun startede krypteringsprocessen, uden egentlig at følge det igennem. Dybest set, DeepBlueMagic ransomware krypterede kun overskrifterne på den berørte partition, for at bryde funktionen Shadow Volumes Windows,”Delte forskerne.
Andre nyligt opdagede ransomware -stammer omfatter Kaos ransomware og Djævelen ransomware.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: