DeepBlueMagic Ransomware
O DeepBlueMagic parece ser uma gangue recém-criada no cenário do ransomware. As operações do grupo foram inicialmente detectadas pelos pesquisadores de infosec na Heimdal Security. A análise da ameaça de ransomware implantada revelou algumas características muito peculiares que diferenciam o DeepBlueMagic das ameaças de ransomware típicas.
Comportamento Único
Para começar, o grupo emprega um programa legítimo de criptografia de disco de terceiros chamado 'BestCrypt Volume Encryption' para seu processo de criptografia. Em vez de se concentrar em arquivos individuais, o DeepBlueMagic bloqueia unidades de disco inteiras conectadas ao servidor comprometido. No entanto, o disco do sistema C foi deixado intacto e acessível. Ele hospeda a ferramenta de criptografia e seu arquivo de resgate 'rescue.rsc.' Normalmente, esse arquivo pode ser usado para recuperar partições criptografadas pela ferramenta, em caso de problemas inesperados. No entanto, o arquivo 'rescue.rsc' deixado pelo DeepBlueMagic é inutilizável porque foi criptografado por seu próprio programa e requer uma chave para ser aberto.
Deve-se observar que o processo de criptografia é iniciado por meio do BestCrypt Volume Encryption e interrompido imediatamente. Isso significa que nem todo o disco fica bloqueado, mas apenas os cabeçalhos. Ainda assim, as partições afetadas serão reconhecidas pelo sistema como estando em formato RAW e inutilizáveis.
Capacidades Adicionais
Antes do processo de criptografia ser iniciado, o DeepBlueMagic deve preparar o ambiente nos sistemas infectados. Isso envolve a desativação de todos os serviços do Windows de terceiros descobertos no computador. Isso garante que nenhum software de segurança baseado em análise comportamental será deixado em execução, pois deixar esses programas ativos resultaria na detecção imediata das atividades ameaçadoras e seu subsequente bloqueio.
A próxima etapa realizada pelo DeepBlueMagic é excluir os backups das Cópias do Shadow Volume criados pelo Windows. Deixá-los significaria que os usuários poderiam potencialmente ser capazes de restaurar os dados bloqueados sem a necessidade de nenhuma entrada dos cibercriminosos. Para evitar que os especialistas coloquem as mãos em uma amostra da ameaça, o malware exclui automaticamente seu arquivo no dispositivo infectado, deixando para trás apenas a ferramenta de criptografia legítima e uma nota de resgate na forma de um arquivo de texto chamado 'Olá, mundo'. O arquivo de rolamento de notas é criado no Dekstop do sistema. O texto completo da mensagem é:
' Olá. O disco rígido do servidor da sua empresa foi criptografado por nós.
Usamos o algoritmo de criptografia mais complexo (AES256). Só nós podemos descriptografar.
Entre em contato conosco: [endereço de e-mail 1]
(Verifique o spam, evite perder e-mails)
Código de identificação: ******** (informe-nos o código de identificação)
Entre em contato conosco e informaremos o valor do resgate e como pagar.
(Se o contato for rápido, te daremos um desconto).
Após o pagamento ser realizado com sucesso, informaremos a senha de decodificação.
Para que você acredite em nós, preparamos o servidor de teste. Entre em contato conosco e nós informaremos ao servidor de teste e decifraremos a senha.
Não faça a varredura de discos rígidos criptografados ou tente recuperar dados. Evite a corrupção de dados.
!!!
Se não respondermos. Entre em contato com uma caixa de correio alternativa: [endereço de e-mail 2]
Habilitaremos a caixa de correio alternativa apenas se a primeira caixa de correio não estiver funcionando corretamente. '
