Por Adriano Cansian
Como se já não bastasse o Corona Vírus, uma nova cepa de ransomware está com uma mutação preocupante, até agora rara, para criptografar dados. Em vez de criptografar arquivos em sistemas desktop, como faz a maioria das famílias de ransomware, o novo malware apelidado de “DeepBlueMagic” tem como alvo diferentes unidades de disco nos servidores de uma organização de destino, dizem pesquisadores da Heimdal Security [1].
A criptografia baseada em arquivos num desktop, usada pela maioria dos ransomwares atuais, tende a ser identificada durante o ataque, principalmente quando há um grande número de arquivos a serem cifrados. Criptografar o volume como o DeepBlueMagic faz em um servidor é uma abordagem diferente, mais letal, versátil e difícil de se notar. Este tipo de abordagem não é nova [2], mas é usada com menos frequência do que a criptografia em nível de arquivos num desktop.
COMBINAÇÕES LETAIS NA NOVA CEPA
O método do DeepBlueMagic, que utiliza uma combinação de técnicas e ações letais, é eficaz porque o sistema se torna quase totalmente inútil e inacessível imediatamente, uma vez que a criptografia em nível de disco remove o acesso a tudo no sistema. A abordagem mais comum dos atacantes nos ransomwares atuais é selecionar cirurgicamente os arquivos que desejam criptografar num desktop, como por exemplo todos as fotos e documentos, deixando livres o sistema e as aplicações.
Foi observado que o malware usou uma ferramenta legítima de criptografia, chamada BestCrypt Volume Encryption da Jetico [3], para iniciar a cifragem em todas as unidades em um sistema Windows Server 2012 R2 infectado, exceto na unidade primária do sistema (“C: \”). A ferramenta de criptografia foi encontrada na unidade de sistema do servidor infectado, junto a um arquivo de recuperação (rescue.rsc), o qual o software BestCrypt usa para recuperar partições danificadas. Neste caso, no entanto, o arquivo de recuperação também está criptografado com uma chave forte, e exige uma senha para abri-lo. É para devolver esta senha que os sequestradores de dados solicitam o pagamento do resgate.
O QUE AINDA NÃO SE SABE
A investigação mostrou que o DeepBlueMagic iniciou o processo de criptografia na unidade D:\ do sistema infectado, e parou o processo quase imediatamente após o início. Isso resultou na unidade sendo parcialmente criptografada e transformada em uma partição RAW [4] inutilizável. Ainda não está claro o motivo pelo qual os invasores pararam a criptografia quase imediatamente após iniciá-la. A pesquisa também ainda não teve sucesso em determinar como os invasores podem ter obtido acesso inicial ao sistema comprometido, mas é suposto que tenham se valido de vulnerabilidades que não foram atualizadas no sistema alvo, ou de ataques laterais. Também ainda não se obteve uma amostra do arquivo executável original, porque o ransomware se excluiu automaticamente do sistema analisado.
A CRUELDADE FINAL
Como é o caso de muitos tipos de ransomware, o DeepBlueMagic foi projetado para desabilitar quaisquer ferramentas de detecção de ameaças baseadas em comportamento que possam estar presentes em um servidor alvo, antes que o malware inicie qualquer criptografia. Sua abordagem para fazer isso é interromper todos os serviços de terceiros do Windows Server. Depois que o malware termina a criptografia, ele exclui a Cópia de Sombra do Windows (Windows Volume Shadow) [5] para impossibilitar a restauração de backup das unidades criptografadas. Como um toque de crueldade final, o malware aproveita sua presença no servidor para tentar ativar o software de criptografia BitLocker da Microsoft em todos os endpoints, dentro do Active Directory da organização vítima. A criptografia em nível de disco combinada com a capacidade de excluir a cópia do Windows Volume Shadow torna a restauração de um sistema afetado extremamente difícil sem a chave de descriptografia
O QUE VEM PELA FRENTE
A abordagem pode ajudar a ampliar o problema da infecção por ransomwares, especialmente considerando a capacidade do DeepBlueMagic de interromper todos os serviços de terceiros em uma máquina Windows. É possível ainda que a amostra encontrada tenha sido um teste inicial de laboratório, visando uma nova abordagem para ser aprimorada, de forma a se tornar mais poderosa.
—-
[1] Veja em https://heimdalsecurity.com/en/
[2] O grupo de ransomware Mamba, uma organização que está operando desde pelo menos 2016, foi identificada em ataques no início deste ano usando uma abordagem semelhante de criptografia em nível de disco. Tal como acontece com os operadores de DeepBlueMagic, o grupo Mamba também usou uma ferramenta de criptografia disponível publicamente, chamada DiskCryptor, para criptografar dados.
[3] Veja https://www.jetico.com/data-encryption/encrypt-hard-drives-bestcrypt-volume-encryption
[4] Resumidamente, trata-se uma partição onde a estrutura do sistema de arquivos foi corrompida e, portanto, não é reconhecida pelo sistema operacional. Veja mais em https://docs.microsoft.com/en-us/troubleshoot/windows-server/backup-and-storage/volume-show-up-as-raw[5] Serviço de Cópias de Sombra de Volume é uma tecnologia incluída no Microsoft Windows que pode criar cópias instantâneas de arquivos ou de volumes do computador, para recuperação de backups. Veja mais em https://docs.microsoft.com/pt-br/windows-server/storage/file-server/volume-shadow-copy-service
