DeepBlueMagic: uma nova cepa de ransomware

BLOG

18 ago 2021

Notícias

POR:

Haline Farias

Como se já não bastasse o Corona Vírus, uma nova cepa de ransomware está com uma mutação preocupante, até agora rara, para criptografar dados. Em vez de criptografar arquivos em desktops, o novo malware “DeepBlueMagic” ataca unidades de disco em servidores de uma organização, afirmam pesquisadores da Heimdal Security [1].

Ransomwares identificam desktops e criptografam um grande número de arquivos durante o ataque, tornando-se comuns e fáceis de detectar. Criptografar o volume como o DeepBlueMagic faz em um servidor é uma abordagem diferente, mais letal, versátil e difícil de se notar. Este tipo de abordagem não é nova [2], mas é usada com menos frequência do que a criptografia em nível de arquivos num desktop.

COMBINAÇÕES LETAIS NA NOVA CEPA

O DeepBlueMagic é eficaz porque torna o sistema quase totalmente inútil e inacessível ao criptografar tudo no nível de disco. Em contraste, ransomwares comuns criptografam apenas arquivos específicos, como fotos e documentos, deixando o sistema e as aplicações intactos e acessíveis.

Observou-se que o malware usou a ferramenta legítima BestCrypt Volume Encryption da Jetico [3] para criptografar todas as unidades em um sistema Windows Server 2012 R2, exceto a unidade “C:\”. Encontraram a ferramenta e o arquivo de recuperação (rescue.rsc) na unidade do sistema do servidor infectado. Neste caso, no entanto, o arquivo de recuperação também está criptografado com uma chave forte, e exige uma senha para abri-lo. É para devolver esta senha que os sequestradores de dados solicitam o pagamento do resgate.

O QUE AINDA NÃO SE SABE

A investigação revelou que o DeepBlueMagic iniciou a criptografia na unidade D:\ do sistema infectado, mas parou quase imediatamente. Isso resultou na unidade sendo parcialmente criptografada e transformada em uma partição RAW [4] inutilizável. Ainda não está claro o motivo pelo qual os invasores pararam a criptografia quase imediatamente após iniciá-la. A pesquisa ainda não determinou como os invasores acessaram o sistema, todavia supõe-se que tenham explorado vulnerabilidades não atualizadas ou realizado ataques laterais. Também ainda não se obteve uma amostra do arquivo executável original, porque o ransomware se excluiu automaticamente do sistema analisado.

A CRUELDADE FINAL

Como muitos ransomwares, o DeepBlueMagic desabilita ferramentas de detecção de ameaças baseadas em comportamento no servidor alvo antes de iniciar a criptografia. Sua abordagem para fazer isso é interromper todos os serviços de terceiros do Windows Server. Após criptografar, o malware exclui a Cópia de Sombra do Windows (Windows Volume Shadow) [5] para impedir a restauração dos backups. Além disso, tenta ativar o BitLocker em todos os endpoints do Active Directory da vítima. Assim, a combinação de criptografia em nível de disco e exclusão da cópia torna a restauração extremamente difícil.

O QUE VEM PELA FRENTE

A abordagem pode agravar a infecção por ransomwares, pois o DeepBlueMagic interrompe serviços de terceiros em máquinas Windows. Ademais, a amostra pode ser um teste inicial para uma versão mais poderosa.

—-

[1] Veja em https://heimdalsecurity.com/en/

[2] O grupo de ransomware Mamba, uma organização que está operando desde pelo menos 2016, foi identificada em ataques no início deste ano usando uma abordagem semelhante de criptografia em nível de disco. Tal como acontece com os operadores de DeepBlueMagic, o grupo Mamba também usou uma ferramenta de criptografia disponível publicamente, chamada DiskCryptor, para criptografar dados.

[3] Veja https://www.jetico.com/data-encryption/encrypt-hard-drives-bestcrypt-volume-encryption

[4] Resumidamente, trata-se uma partição onde a estrutura do sistema de arquivos foi corrompida e, portanto, não é reconhecida pelo sistema operacional. Veja mais em https://docs.microsoft.com/en-us/troubleshoot/windows-server/backup-and-storage/volume-show-up-as-raw[5] Serviço de Cópias de Sombra de Volume é uma tecnologia incluída no Microsoft Windows que pode criar cópias instantâneas de arquivos ou de volumes do computador, para recuperação de backups. Veja mais em https://docs.microsoft.com/pt-br/windows-server/storage/file-server/volume-shadow-copy-service

Por Adriano Cansian

Fale com nossos especialistas

Categorias

RESH

Resh Pentest Experts

Compartilhe:

Cookie	Duração	Descrição
cookielawinfo-checbox-analytics	11 meses	Este cookie é definido pelo plugin GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Analytics".
cookielawinfo-checbox-functional	11 meses	O cookie é definido pelo consentimento do cookie GDPR para registrar o consentimento do usuário para os cookies na categoria "Funcionais".
cookielawinfo-checbox-others	11 meses	Este cookie é definido pelo plugin GDPR Cookie Consent. O cookie é usado para armazenar o consentimento do usuário para os cookies na categoria "Outros.
cookielawinfo-checkbox-necessary	11 meses	Este cookie é definido pelo plugin GDPR Cookie Consent. Os cookies são usados para armazenar o consentimento do usuário para os cookies na categoria "Necessários".
viewed_cookie_policy	11 meses	O cookie é definido pelo plug-in GDPR Cookie Consent e é usado para armazenar se o usuário consentiu ou não com o uso de cookies. Ele não armazena nenhum dado pessoal.