DeepBlueMagic ransomware

Il DeepBlueMagic sembra essere una banda di nuova costituzione nel panorama dei ransomware. Le operazioni del gruppo sono state rilevate per la prima volta dai ricercatori dell'infosec presso la Heimdal Security. L'analisi della minaccia ransomware distribuita ha rivelato alcune caratteristiche molto peculiari che distinguono DeepBlueMagic dalle tipiche minacce ransomware.

Comportamento unico

Per cominciare, il gruppo utilizza un legittimo programma di crittografia del disco di terze parti denominato "BestCrypt Volume Encryption" per il suo processo di crittografia. Invece di concentrarsi sui singoli file, DeepBlueMagic blocca intere unità disco collegate al server compromesso. Tuttavia, il disco di sistema C è stato lasciato intatto e accessibile. Ospita lo strumento di crittografia e il suo file di ripristino "rescue.rsc". Di solito, questo file può essere utilizzato per recuperare partizioni crittografate dallo strumento, in caso di problemi imprevisti. Tuttavia, il file "rescue.rsc" lasciato da DeepBlueMagic è inutilizzabile perché è stato crittografato dal proprio programma e richiede l'apertura di una chiave.

Va notato che il processo di crittografia viene avviato tramite BestCrypt Volume Encryption e quindi interrotto immediatamente. Ciò significa che non l'intero disco viene bloccato, ma solo le intestazioni. Tuttavia, le partizioni interessate verranno riconosciute dal sistema come in formato RAW e inutilizzabili.

Funzionalità aggiuntive

Prima di avviare il processo di crittografia, DeepBlueMagic deve preparare l'ambiente sui sistemi infetti. Ciò comporta la disattivazione di tutti i servizi Windows di terze parti rilevati sul computer. Ciò garantisce che nessun software di sicurezza basato sull'analisi comportamentale verrà lasciato in esecuzione poiché lasciare tali programmi attivi comporterebbe l'immediato rilevamento delle attività minacciose e il loro successivo blocco.

Il passaggio successivo eseguito da DeepBlueMagic consiste nell'eliminare i backup di Volume Shadow Copy creati da Windows. Lasciarli significherebbe che gli utenti potrebbero potenzialmente essere in grado di ripristinare i dati bloccati senza bisogno di alcun input da parte dei criminali informatici. Per impedire agli esperti di mettere le mani su un campione della minaccia, il malware elimina automaticamente il proprio file sul dispositivo infetto, lasciando solo lo strumento di crittografia legittimo e una richiesta di riscatto sotto forma di file di testo denominato "Hello world". Il file contenente le note viene creato sul Dekstop del sistema. Il testo completo del messaggio è:

' Ciao. Il disco rigido del server della tua azienda è stato crittografato da noi.

Utilizziamo l'algoritmo di crittografia più complesso (AES256). Solo noi possiamo decifrare.

Per favore contattaci: [indirizzo email 1]

(Si prega di controllare lo spam, evitare di perdere la posta)

Codice identificativo: ******** (Si prega di comunicarci il codice identificativo)

Ti preghiamo di contattarci e ti diremo l'importo del riscatto e come pagare.

(Se il contatto è veloce, ti faremo uno sconto.)

Dopo che il pagamento è andato a buon fine, diremo la password di decrittografia.

Affinché tu possa credere in noi, abbiamo preparato il server di prova. Per favore contattaci e diremo al server di prova e decrittograferemo la password.

Si prega di non eseguire la scansione di dischi rigidi crittografati o tentare di recuperare i dati. Prevenire il danneggiamento dei dati.

!!!

Se non rispondiamo. Si prega di contattare una casella di posta alternativa: [indirizzo email 2]

Abiliteremo la casella di posta alternativa solo se la prima casella di posta non funziona correttamente. '