I ricercatori della sicurezza di Heimdal sono appena stati informati di un nuovo ceppo di ransomware, firmato da un gruppo chiamato DeepBlueMagic. Apparentemente, il nuovo ceppo è piuttosto complesso, mostrando approcci innovativi in termini di crittografia dei file.
Il dispositivo compromesso analizzato dai ricercatori stava eseguendo Windows Server 2021 R2. Così, vediamo cosa c'è di così diverso nel nuovo ransomware DeepBlueMagic.
Uno sguardo al ransomware DeepBlueMagic
Prima di tutto, il ransomware utilizza uno strumento di crittografia di terze parti chiamato BestCrypt Volume Encryption di Jetico. Invece di crittografare prima i file sul sistema della vittima, il ransomware ha prima preso di mira diverse unità disco sul server, ad eccezione dell'unità di sistema situata nella "C:\"partizione")."
“La “BestCrypt Volume Encryption” era ancora presente sul disco accessibile, C, accanto a un file chiamato "rescue.rsc", un file di ripristino utilizzato abitualmente dal software Jetico per ripristinare la partizione in caso di danneggiamento. Ma a differenza degli usi legittimi del software, il file di salvataggio stesso è stato crittografato anche dal prodotto di Jetico, usando lo stesso meccanismo, e richiedere una password per poterlo aprire,"Ha spiegato Heimdal.
Questo non è il solito modus operandi utilizzato dalla maggior parte delle famiglie di ransomware là fuori. La maggior parte delle infezioni da ransomware si concentra sulla crittografia dei file.
"Ulteriori analisi hanno rivelato che il processo di crittografia è stato avviato utilizzando il prodotto di Jetico, e si fermò subito dopo la sua iniziazione. Pertanto, seguendo questo processo di riattaccata, l'unità è stata crittografata solo parzialmente, con solo le intestazioni del volume interessate. La crittografia può essere continuata o ripristinata utilizzando il file di ripristino di "BestCrypt Volume Encryption" di Jetico, ma quel file è stato anche crittografato dagli operatori del ransomware,"aggiunse il rapporto.
Il ransomware DeepBlueMagic ha anche eliminato le copie shadow del volume per assicurarsi che il ripristino dei file non fosse possibile. Poiché è stato rilevato su un sistema operativo server Windows, anche il ransomware ha tentato di attivarsi Bitlocker su tutti gli endpoint in quella directory attiva.
"Sfortunatamente, il ransomware ha anche cancellato automaticamente ogni traccia del file eseguibile originale tranne le tracce del legittimo strumento Jetico. Ciò significa che questa volta non ne abbiamo ricevuto un campione, quindi possiamo eseguire ulteriori analisi in un ambiente di macchina virtuale sicuro,” ha aggiunto Heimdal. Per fortuna, le informazioni ottenute dai ricercatori sono state sufficienti per compilare un rapporto tecnico sull'incidente e sulle caratteristiche del ransomware.
Che dire della richiesta di riscatto di DeepBlueMagic?
È stato rilasciato sul desktop in un file di testo chiamato "Hello world". Ecco cosa dice, con alcune modifiche dettagliate per motivi di sicurezza:
Ciao. disco rigido del server aziendale è stato crittografato da noi.
Usiamo l'algoritmo di crittografia più complessi (AES256). Solo noi possiamo decifrare.
Ci contatti per favore: [indirizzo e-mail 1] (Si prega di verificare lo spam, Evitare di posta elettronica mancante)
Codice di identificazione: ******** (Si prega di dirci il codice di identificazione)
Si prega di contattarci e noi vi diremo la quantità di riscatto e come pagare.
(Se il contatto è veloce, vi daremo uno sconto.)
Dopo il pagamento va a buon fine, diremo la password decifrare.
Al fine di poter credere in noi, abbiamo preparato il server di prova. Vi preghiamo di contattarci e vi diremo il server di prova e decifrare la password.
Si prega di non eseguire la scansione di dischi rigidi crittografati o tentare di recuperare i dati. Prevenire la corruzione dei dati.
!!!
Se non rispondiamo. Si prega di contattare una casella di posta alternativo: [indirizzo e-mail 2] Noi consentire la cassetta postale alternativa solo se la prima casella di posta non funziona correttamente.
!!!
La buona notizia è che è possibile aggirare parzialmente questo ransomware, almeno nel caso del server compromesso Heimdal analizzato.
"Il server interessato è stato ripristinato perché il ransomware ha solo avviato il processo di crittografia, senza seguirlo effettivamente. Fondamentalmente, il ransomware DeepBlueMagic ha crittografato solo le intestazioni della partizione interessata, per interrompere la funzionalità di Windows Shadow Volumes,"hanno condiviso i ricercatori.
Altri ceppi di ransomware rilevati di recente includono Ransomware del caos e ransomware diavolo.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: