Os pesquisadores de segurança da Heimdal acabaram de ser informados sobre uma nova cepa de ransomware, assinado por um grupo chamado DeepBlueMagic. Pelo visto, a nova cepa é bastante complexa, exibindo abordagens inovadoras em termos de criptografia de arquivos.
O dispositivo comprometido que os pesquisadores analisaram estava executando o Windows Server 2021 R2. assim, vamos ver o que há de tão diferente no ransomware DeepBlueMagic recém-surgido.
Uma olhada no DeepBlueMagic Ransomware
Em primeiro lugar, o ransomware usa uma ferramenta de criptografia de terceiros chamada BestCrypt Volume Encryption da Jetico. Em vez de primeiro criptografar arquivos no sistema da vítima, o ransomware primeiro visou unidades de disco diferentes no servidor, com exceção da unidade do sistema localizada na seção “C:\”Partição).”
“O“ BestCrypt Volume Encryption ”ainda estava presente no disco acessível, C, ao lado de um arquivo chamado “rescue.rsc”, um arquivo de resgate normalmente usado pelo software Jetico para recuperar a partição em caso de dano. Mas, ao contrário dos usos legítimos do software, o próprio arquivo de resgate também foi criptografado pelo produto Jetico, usando o mesmo mecanismo, e exigindo uma senha para poder abri-lo,”Heimdal explicou.
Este não é o modus operandi usual usado pela maioria das famílias de ransomware lá fora. A maioria das infecções de ransomware se concentra na criptografia de arquivos.
“Uma análise posterior revelou que o processo de criptografia foi iniciado usando o produto Jetico, e parou logo após o seu início. Portanto, seguindo este processo de go-around, a unidade foi apenas parcialmente criptografada, com apenas os cabeçalhos de volume sendo afetados. A criptografia pode ser continuada ou restaurada usando o arquivo de resgate do “BestCrypt Volume Encryption” da Jetico, mas esse arquivo também foi criptografado pelos operadores de ransomware,”O relatório adicionou.
O ransomware DeepBlueMagic também excluiu Cópias de Sombra de Volume para garantir que a restauração de arquivos não seja possível. Uma vez que foi detectado em um sistema operacional de servidor Windows, o ransomware também tentou ativar Bitlocker em todos os endpoints nesse diretório ativo.
"Infelizmente, o ransomware também excluiu automaticamente qualquer vestígio do arquivo executável original, exceto os vestígios da ferramenta Jetico legítima. Isso significa que não recebemos uma amostra desta vez, para que possamos realizar mais análises em um ambiente de máquina virtual seguro,”Heimdal adicionou. Felizmente, as informações que os pesquisadores obtiveram foram suficientes para compilar um relatório técnico do incidente e as características do ransomware.
E o pedido de resgate de DeepBlueMagic?
Ele foi colocado na área de trabalho em um arquivo de texto chamado “Olá, mundo”. Aqui está o que diz, com alguns detalhes editados por razões de segurança:
Olá. disco rígido do servidor da sua empresa foi criptografado por nós.
Nós usamos o algoritmo de criptografia mais complexa (AES256). Só podemos descriptografar.
Por favor, entre em contato conosco: [endereço de e-mail 1] (Por favor, verifique o spam, Evite correio desaparecida)
Código de identificação: ******** (Por favor, diga-nos o código de identificação)
Entre em contato conosco e vamos dizer-lhe a quantidade de resgate e como pagar.
(Se o contato é rápido, damos-lhe um desconto.)
Após o pagamento for realizado, vamos dizer a senha descriptografar.
Para que você a acreditar em nós, nós preparamos o servidor de teste. Entre em contato conosco e vamos dizer o servidor de teste e descriptografar a senha.
Não faça a varredura de discos rígidos criptografados ou tente recuperar dados. Previna a corrupção de dados.
!!!
Se não respondermos. Entre em contato com uma caixa de correio alternativo: [endereço de e-mail 2] Vamos permitir que a caixa de correio alternativo apenas se a primeira caixa de correio não está funcionando corretamente.
!!!
A boa notícia é que é possível contornar parcialmente este ransomware, pelo menos no caso do servidor Heimdal comprometido analisado.
“O servidor afetado foi restaurado devido ao ransomware apenas iniciar o processo de criptografia, sem realmente segui-lo. Basicamente, o ransomware DeepBlueMagic criptografou apenas os cabeçalhos da partição afetada, para quebrar o recurso Shadow Volumes do Windows,”Os pesquisadores compartilharam.
Outras cepas de ransomware detectadas recentemente incluem Chaos ransomware e Devil ransomware.