DeepBlueMagic Ransomware
DeepBlueMagic parece ser una pandilla recién establecida en el panorama del ransomware. Las operaciones del grupo fueron recogidas por primera vez por los investigadores de seguridad de información de Heimdal Security. El análisis de la amenaza de ransomware implementada ha revelado algunas características muy peculiares que distinguen a DeepBlueMagic de las amenazas de ransomware típicas.
Comportamiento único
Para empezar, el grupo emplea un programa de cifrado de disco legítimo de terceros llamado 'BestCrypt Volume Encryption' para su proceso de cifrado. En lugar de centrarse en archivos individuales, DeepBlueMagic bloquea unidades de disco completas conectadas al servidor comprometido. Sin embargo, el disco del sistema C se dejó intacto y accesible. Aloja la herramienta de cifrado y su archivo de rescate 'rescue.rsc'. Por lo general, este archivo se puede utilizar para recuperar particiones cifradas por la herramienta, en caso de problemas inesperados. Sin embargo, el archivo 'rescue.rsc' dejado por DeepBlueMagic no se puede usar porque fue encriptado por su propio programa y requiere una clave para ser abierto.
Cabe señalar que el proceso de cifrado se inicia a través de BestCrypt Volume Encryption y luego se detiene inmediatamente. Esto significa que no se bloquea todo el disco, sino solo los encabezados. Aún así, el sistema reconocerá que las particiones afectadas están en formato RAW e inutilizables.
Capacidades adicionales
Antes de que se inicie el proceso de cifrado, DeepBlueMagic debe preparar el entorno en los sistemas infectados. Esto implica deshabilitar todos los servicios de Windows de terceros descubiertos en la computadora. Al hacerlo, se garantiza que no se dejará en ejecución ningún software de seguridad basado en análisis de comportamiento, ya que dejar dichos programas activos daría lugar a la detección inmediata de las actividades amenazantes y su posterior bloqueo.
El siguiente paso realizado por DeepBlueMagic es eliminar las copias de seguridad de instantáneas de volumen creadas por Windows. Dejarlos significaría que los usuarios podrían potencialmente restaurar los datos bloqueados sin necesidad de ninguna entrada de los ciberdelincuentes. Para evitar que los expertos tengan en sus manos una muestra de la amenaza, el malware borra automáticamente su archivo en el dispositivo infectado, dejando atrás solo la herramienta de cifrado legítima y una nota de rescate en forma de un archivo de texto llamado 'Hola mundo'. El archivo con notas se crea en el Dekstop del sistema. El texto completo del mensaje es:
' Hola. El disco duro del servidor de su empresa fue encriptado por nosotros.
Utilizamos el algoritmo de cifrado más complejo (AES256). Solo nosotros podemos descifrar.
Comuníquese con nosotros: [dirección de correo electrónico 1]
(Compruebe el correo no deseado, evite la falta de correo)
Código de identificación: ******** (Indíquenos el código de identificación)
Por favor contáctenos y le diremos el monto del rescate y cómo pagarlo.
(Si el contacto es rápido, le daremos un descuento).
Después de que el pago sea exitoso, le diremos la contraseña de descifrado.
Para que pueda creer en nosotros, hemos preparado el servidor de prueba. Por favor contáctenos y le diremos al servidor de prueba y descifraremos la contraseña.
No escanee discos duros cifrados ni intente recuperar datos. Evite la corrupción de datos.
!!!
Si no respondemos. Comuníquese con un buzón de correo alternativo: [dirección de correo electrónico 2]
Habilitaremos el buzón alternativo solo si el primer buzón no funciona correctamente. '
