Casa > Ciber Noticias > DeepBlueMagic: Nuevo ransomware en aumento
CYBER NOTICIAS

DeepBlueMagic: Nuevo ransomware en aumento

deepbluemagic-ransomware-sensorestechforum
Los investigadores de seguridad de Heimdal acaban de ser informados sobre una nueva cepa de ransomware, firmado por un grupo llamado DeepBlueMagic. Al parecer,, la nueva cepa es bastante compleja, mostrando enfoques innovadores en términos de cifrado de archivos.

El dispositivo comprometido que analizaron los investigadores estaba ejecutando Windows Server 2021 R2. Así, veamos qué tiene de diferente el ransomware DeepBlueMagic recién surgido.

Una mirada a DeepBlueMagic Ransomware

Ante todo, el ransomware utiliza una herramienta de cifrado de terceros llamada BestCrypt Volume Encryption de Jetico. En lugar de cifrar primero los archivos en el sistema de la víctima, el ransomware primero apuntó a diferentes unidades de disco en el servidor, con la excepción de la unidad del sistema ubicada en el "C:\"Partición)."




"El" Cifrado de volumen BestCrypt "todavía estaba presente en el disco accesible, C, junto con un archivo llamado "rescue.rsc", un archivo de rescate utilizado habitualmente por el software de Jetico para recuperar la partición en caso de daño. Pero a diferencia de los usos legítimos del software, el archivo de rescate en sí también fue encriptado por el producto de Jetico, usando el mismo mecanismo, y requiriendo una contraseña para poder abrirlo,"Heimdal explicó.

Este no es el modus operandi habitual utilizado por la mayoría de las familias de ransomware.. La mayoría de las infecciones de ransomware se centran en cifrar archivos.

"Un análisis más detallado reveló que el proceso de cifrado se inició con el producto de Jetico, y se detuvo justo después de su inicio. Por lo tanto, siguiendo este proceso de ida y vuelta, la unidad solo estaba parcialmente cifrada, con solo los encabezados de volumen afectados. El cifrado se puede continuar o restaurar utilizando el archivo de rescate de "BestCrypt Volume Encryption" de Jetico, pero ese archivo también fue encriptado por los operadores de ransomware,"Agregó el informe.

DeepBlueMagic ransomware también eliminó Volume Shadow Copies para asegurarse de que la restauración de archivos no sea posible. Desde que se detectó en un sistema operativo de servidor Windows, el ransomware también intentó activar Bitlocker en todos los puntos finales de ese directorio activo.

"Desafortunadamente, el ransomware también borró automáticamente cualquier rastro del archivo ejecutable original, excepto los rastros de la herramienta legítima Jetico. Eso significa que no obtuvimos una muestra esta vez, por lo que podemos realizar más análisis en un entorno seguro de máquina virtual.,"Heimdal agregó. Afortunadamente, la información que obtuvieron los investigadores fue suficiente para compilar un informe técnico del incidente y las características del ransomware.




¿Qué pasa con la nota de rescate de DeepBlueMagic??

Se colocó en el escritorio en un archivo de texto llamado "Hola mundo". Esto es lo que dice, con algunos detalles editados por razones de seguridad:

¡Hola. disco duro del servidor de su empresa fue cifrado por nosotros.
Utilizamos el algoritmo de cifrado más complejos (AES256). Sólo podemos descifrar.
Por favor contáctenos: [dirección de correo electrónico 1] (Por favor, compruebe el spam, Evitar el correo que falta)
Código de identificación: ******** (Por favor nos dice el código de identificación)
Por favor, póngase en contacto con nosotros y le diremos la cantidad de rescate y la forma de pago.
(Si el contacto es rápido, le daremos un descuento.)
Después de que el pago se realiza correctamente, vamos a decir la contraseña de descifrado.
Con el fin de creer en nosotros, hemos preparado el servidor de prueba. Por favor, póngase en contacto con nosotros y vamos a decirle al servidor de prueba y descifrar la contraseña.
No escanee discos duros cifrados ni intente recuperar datos. Prevenir la corrupción de datos.
!!!
Si no respondemos. Por favor, póngase en contacto con un buzón alternativo: [dirección de correo electrónico 2] Vamos a activar el buzón alternativo sólo si el primer buzón no está funcionando adecuadamente.
!!!

La buena noticia es que es posible eludir parcialmente este ransomware., al menos en el caso del servidor comprometido Heimdal analizado.

"El servidor afectado se restauró debido a que el ransomware solo inició el proceso de cifrado, sin realmente seguirlo. Fundamentalmente, el ransomware DeepBlueMagic solo cifró los encabezados de la partición afectada, para romper la función de Windows Shadow Volumes,”Los investigadores compartieron.

Otras cepas de ransomware detectadas recientemente incluyen Caos ransomware y Ransomware diablo.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo