Les chercheurs en sécurité de Heimdal viennent d'être informés d'une nouvelle souche de ransomware, signé par un groupe appelé DeepBlueMagic. Apparemment, la nouvelle souche est assez complexe, affichant des approches innovantes en termes de chiffrement de ses fichiers.
L'appareil compromis que les chercheurs ont analysé utilisait Windows Server 2021 R2. Si, Voyons ce qui est si différent avec le nouveau ransomware DeepBlueMagic.
Un regard sur DeepBlueMagic Ransomware
Tout d'abord, le ransomware utilise un outil de cryptage tiers appelé BestCrypt Volume Encryption by Jetico. Au lieu de crypter d'abord les fichiers sur le système de la victime, le ransomware a d'abord ciblé différents disques durs sur le serveur, à l'exception du lecteur système situé dans le "C:\" cloison)."
"Le "BestCrypt Volume Encryption" était toujours présent sur le disque accessible, C, à côté d'un fichier nommé "rescue.rsc", un fichier de secours habituellement utilisé par le logiciel Jetico pour récupérer la partition en cas de dommage. Mais contrairement aux utilisations légitimes du logiciel, le fichier de secours lui-même a également été crypté par le produit de Jetico, utilisant le même mécanisme, et nécessitant un mot de passe pour pouvoir l'ouvrir," Heimdal a expliqué.
Ce n'est pas le mode opératoire habituel utilisé par la plupart des familles de ransomwares. La plupart des infections par ransomware se concentrent sur le cryptage des fichiers.
« Une analyse plus approfondie a révélé que le processus de cryptage avait été lancé à l'aide du produit de Jetico., et s'est arrêté juste après son initiation. Donc, suite à ce processus de remise des gaz, le lecteur n'était que partiellement crypté, avec seulement les en-têtes de volume affectés. Le cryptage peut être soit poursuivi, soit restauré à l'aide du fichier de secours du "BestCrypt Volume Encryption" de Jetico., mais ce fichier a également été crypté par les opérateurs de ransomware," ajoute le rapport.
DeepBlueMagic ransomware a également supprimé les clichés instantanés de volume pour s'assurer que la restauration de fichiers n'est pas possible. Depuis qu'il a été détecté sur un système d'exploitation de serveur Windows, le ransomware a également tenté d'activer Bitlocker sur tous les points de terminaison dans cet annuaire actif.
"Malheureusement, le ransomware a également auto-supprimé toute trace du fichier exécutable d'origine, à l'exception des traces de l'outil Jetico légitime. Cela signifie que nous n'en avons pas obtenu d'échantillon cette fois-ci afin que nous puissions effectuer plus d'analyses dessus dans un environnement de machine virtuelle sécurisé,” Heimdal a ajouté. Heureusement, les informations obtenues par les chercheurs étaient suffisantes pour compiler un rapport technique sur l'incident et les caractéristiques du ransomware.
Qu'en est-il de la demande de rançon de DeepBlueMagic?
Il a été déposé sur le bureau dans un fichier texte appelé "Hello world". Voici ce qu'il dit, avec quelques détails édités pour des raisons de sécurité:
Bonjour. disque dur du serveur de votre entreprise a été chiffré par nous.
Nous utilisons l'algorithme de chiffrement les plus complexes (AES256). Seulement nous pouvons déchiffrer.
Contactez nous s'il vous plait: [adresse e-mail 1] (S'il vous plaît vérifier le spam, Évitez courrier manquant)
Code d'identification: ******** (S'il vous plaît nous dire le code d'identification)
S'il vous plaît nous contacter et nous allons vous dire le montant de la rançon et comment payer.
(Si le contact est rapide, nous vous donnerons un rabais.)
Après le paiement est réussie, nous dire le mot de passe Décrypter.
Afin que vous puissiez croire en nous, nous avons préparé le serveur de test. S'il vous plaît nous contacter et nous dire au serveur de test et décrypter le mot de passe.
Veuillez ne pas analyser les disques durs cryptés ou tenter de récupérer des données. Empêcher la corruption des données.
!!!
Si nous ne répondons pas. S'il vous plaît contacter une seconde boîte aux lettres: [adresse e-mail 2] Nous permettrons à la boîte aux lettres autre que si la première boîte aux lettres ne fonctionne pas correctement.
!!!
La bonne nouvelle est qu'il est possible de contourner partiellement ce ransomware, au moins dans le cas du serveur compromis Heimdal analysé.
"Le serveur affecté a été restauré car le ransomware n'a lancé le processus de cryptage, sans vraiment le suivre. Fondamentalement, le ransomware DeepBlueMagic n'a chiffré que les en-têtes de la partition affectée, afin de casser la fonctionnalité Shadow Volumes Windows,” les chercheurs ont partagé.
Les autres souches de ransomware récemment détectées incluent Chaos ransomware et Logiciel de rançon diabolique.