Die Sicherheitsforscher von Heimdal wurden gerade über einen neuen Ransomware-Stamm informiert, signiert von einer Gruppe namens DeepBlueMagic. Offenbar, die neue Sorte ist ziemlich komplex, zeigt innovative Ansätze in Bezug auf seine Dateiverschlüsselung.
Auf dem kompromittierten Gerät, das die Forscher analysierten, lief Windows Server 2021 R2. So, mal sehen, was an der neu aufgetauchten DeepBlueMagic-Ransomware so anders ist.
Ein Blick in die DeepBlueMagic-Ransomware
Zunächst, Die Ransomware verwendet ein Drittanbieter-Verschlüsselungstool namens BestCrypt Volume Encryption von Jetico. Anstatt zuerst Dateien auf dem System des Opfers zu verschlüsseln, Die Ransomware zielte zunächst auf verschiedene Festplatten auf dem Server ab, mit Ausnahme des Systemlaufwerks, das sich im „C“ befindet:\” Partition)."
„Die „BestCrypt Volume Encryption“ war noch auf dem zugänglichen Datenträger vorhanden, C, neben einer Datei namens „rescue.rsc“, eine Rettungsdatei, die gewöhnlich von der Jetico-Software verwendet wird, um die Partition im Schadensfall wiederherzustellen. Aber anders als bei den legitimen Verwendungen der Software, die Rettungsdatei selbst wurde ebenfalls von Jeticos Produkt verschlüsselt, mit dem gleichen Mechanismus, und erfordert ein Passwort, um es öffnen zu können,“Heimdal erklärte.
Dies ist nicht der übliche Modus Operandi, der von den meisten Ransomware-Familien verwendet wird. Die meisten Ransomware-Infektionen konzentrieren sich auf die Verschlüsselung von Dateien.
„Weitere Analysen ergaben, dass der Verschlüsselungsprozess mit dem Produkt von Jetico gestartet wurde, und stoppte gleich nach seiner Initiation. Deshalb, nach diesem Go-Around-Prozess, das Laufwerk war nur teilweise verschlüsselt, wobei nur die Volume-Header betroffen sind. Die Verschlüsselung kann entweder fortgesetzt oder mit der Rettungsdatei von Jeticos „BestCrypt Volume Encryption“ wiederhergestellt werden., aber diese Datei wurde auch von den Ransomware-Betreibern verschlüsselt,“ fügte der Bericht hinzu.
Die DeepBlueMagic-Ransomware hat auch Volumenschattenkopien gelöscht, um sicherzustellen, dass eine Dateiwiederherstellung nicht möglich ist. Da es auf einem Windows-Serverbetriebssystem erkannt wurde, die Ransomware hat auch versucht zu aktivieren Bitlocker auf allen Endpunkten in diesem Active Directory.
"Leider, Die Ransomware hat auch alle Spuren der ursprünglichen ausführbaren Datei selbst gelöscht, mit Ausnahme der Spuren des legitimen Jetico-Tools. Das bedeutet, dass wir dieses Mal keine Probe davon erhalten haben, damit wir weitere Analysen in einer sicheren virtuellen Maschinenumgebung durchführen können,” Heimdal hinzugefügt. Zum Glück, Die Informationen, die die Forscher erhielten, reichten aus, um einen technischen Bericht über den Vorfall und die Eigenschaften der Ransomware zu erstellen.
Was ist mit der Lösegeldforderung von DeepBlueMagic??
Es wurde auf dem Desktop in einer Textdatei namens "Hello world" abgelegt. Hier ist, was es sagt, mit einigen Details aus Sicherheitsgründen bearbeitet:
Hallo. Server Ihres Unternehmens Festplatte wurde von uns verschlüsselt.
Wir verwenden die meisten komplexen Verschlüsselungsalgorithmus (AES256). Nur wir können entschlüsseln.
Bitte kontaktieren Sie uns: [E-Mail-Addresse 1] (Bitte überprüfen Sie Spam, Vermeiden Sie fehlende mail)
Identifikationsnummer: ******** (Teilen Sie uns bitte den Identifikationscode)
Bitte kontaktieren Sie uns und wir werden Ihnen die Menge an Lösegeld sagen und wie Sie bezahlen.
(Wenn der Kontakt ist schnell, Wir werden Ihnen einen Rabatt geben.)
Nachdem die Zahlung erfolgreich, wir werden das Entschlüsselungs-Passwort sagen.
Damit Sie in uns, zu glauben,, wir haben den Test-Server vorbereitet. Bitte kontaktieren Sie uns und wir werden den Testserver sagen und das Passwort entschlüsseln.
Bitte scannen Sie keine verschlüsselten Festplatten und versuchen Sie nicht, Daten wiederherzustellen. Verhindern Sie Datenbeschädigung.
!!!
Wenn wir nicht antworten. Bitte kontaktieren Sie einen alternativen Mailbox: [E-Mail-Addresse 2] Wir werden die alternativen Mailbox nur aktivieren, wenn das erste Postfach nicht richtig funktioniert.
!!!
Die gute Nachricht ist, dass es möglich ist, diese Ransomware teilweise zu umgehen, zumindest im Fall des kompromittierten Servers Heimdal analysiert.
„Der betroffene Server wurde wiederhergestellt, da die Ransomware nur den Verschlüsselungsprozess initiierte, ohne es wirklich zu verfolgen. Im Grunde, die DeepBlueMagic-Ransomware verschlüsselte nur die Header der betroffenen Partition, um die Windows-Funktion von Shadow Volumes zu unterbrechen,“ teilten die Forscher.
Andere kürzlich entdeckte Ransomware-Stämme umfassen Chaos-Ransomware und Teufel-Ransomware.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: