Heimdal-beveiligingsonderzoekers werden zojuist geïnformeerd over een nieuwe ransomware-stam, ondertekend door een groep genaamd DeepBlueMagic. Blijkbaar, de nieuwe soort is nogal complex, met innovatieve benaderingen in termen van bestandsversleuteling.
Het gecompromitteerde apparaat dat de onderzoekers analyseerden, draaide Windows Server 2021 R2. Dus, laten we eens kijken wat er zo anders is aan de nieuw opgekomen DeepBlueMagic ransomware.
Een kijkje in DeepBlueMagic Ransomware
Allereerst, de ransomware gebruikt een versleutelingstool van derden genaamd BestCrypt Volume Encryption van Jetico. In plaats van eerst bestanden op het systeem van het slachtoffer te versleutelen, de ransomware richtte zich eerst op verschillende schijfstations op de server, met uitzondering van de systeemschijf in de "C":\” partitie)."
“De “BestCrypt Volume Encryption” was nog steeds aanwezig op de toegankelijke schijf, C, naast een bestand met de naam "rescue.rsc", een reddingsbestand dat gewoonlijk door de software van Jetico wordt gebruikt om de partitie te herstellen in geval van schade. Maar in tegenstelling tot het legitieme gebruik van de software, het reddingsbestand zelf werd ook versleuteld door Jetico's product, hetzelfde mechanisme gebruiken, en een wachtwoord nodig hebben om het te kunnen openen,Heimdal legde uit.
Dit is niet de gebruikelijke modus operandi die door de meeste ransomware-families wordt gebruikt. De meeste ransomware-infecties zijn gericht op het versleutelen van bestanden.
“Uit verdere analyse bleek dat het versleutelingsproces is gestart met behulp van Jetico’s product, en stopte direct na zijn initiatie. Daarom, na dit doorstartproces, de schijf was slechts gedeeltelijk versleuteld, waarbij alleen de volumeheaders worden beïnvloed. De codering kan worden voortgezet of hersteld met behulp van het reddingsbestand van Jetico's "BestCrypt Volume Encryption", maar dat bestand was ook versleuteld door de ransomware-operators,” het rapport toegevoegd.
DeepBlueMagic ransomware heeft ook Volume Shadow Copies verwijderd om er zeker van te zijn dat bestandsherstel niet mogelijk is. Omdat het werd gedetecteerd op een Windows-serverbesturingssysteem, de ransomware probeerde ook te activeren Bitlocker op alle eindpunten in die actieve map.
"Helaas, de ransomware heeft ook zelf elk spoor van het originele uitvoerbare bestand verwijderd, behalve de sporen van de legitieme Jetico-tool. Dat betekent dat we er deze keer geen voorbeeld van hebben gekregen, zodat we er meer analyses op kunnen uitvoeren in een veilige virtuele machineomgeving,"Heimdal toegevoegd. Gelukkig, de informatie die de onderzoekers kregen was voldoende om een technisch rapport van het incident en de kenmerken van de ransomware op te stellen.
Hoe zit het met de losgeldbrief van DeepBlueMagic??
Het werd op het bureaublad neergezet in een tekstbestand met de naam "Hallo wereld". Dit is wat er staat, met enkele gedetailleerde bewerkingen om veiligheidsredenen:
Hallo. server harde schijf van uw bedrijf is gecodeerd door ons.
We maken gebruik van de meest complexe encryptie-algoritme (AES256). Alleen wij kunnen decoderen.
Contacteer ons alsjeblieft: [e-mailadres 1] (Controleer spam, Vermijd ontbrekende mail)
Identificatiecode: ******** (Laat ons de identificatiecode)
Neem dan contact met ons op en wij zullen u vertellen de hoeveelheid losgeld en hoe te betalen.
(Als het contact is snel, zullen wij u een korting.)
Nadat de betaling is geslaagd, we zullen het decoderen wachtwoord vertellen.
Om voor u om te geloven in ons, we hebben de test server voorbereid. Neem dan contact met ons op en wij zullen de test server te vertellen en te decoderen het wachtwoord.
Scan geen versleutelde harde schijven en probeer geen gegevens te herstellen. Gegevenscorruptie voorkomen.
!!!
Als we niet reageren. Neem contact op met een andere mailbox: [e-mailadres 2] We zullen de alternatieve mailbox alleen als de eerste mailbox niet goed werkt mogelijk te maken.
!!!
Het goede nieuws is dat het mogelijk is om deze ransomware gedeeltelijk te omzeilen, tenminste in het geval van de gecompromitteerde server Heimdal geanalyseerd.
“De getroffen server is hersteld omdat de ransomware alleen het versleutelingsproces startte, zonder het echt te volgen. In principe, de DeepBlueMagic ransomware versleutelde alleen de headers van de getroffen partitie, om de Shadow Volumes Windows-functie te breken,” deelden de onderzoekers.
Andere recent ontdekte ransomware-stammen zijn onder meer: Chaos-ransomware en Duivel ransomware.