DeepBlueMagic-Ransomware

Die DeepBlueMagic scheint eine neu gegründete Bande in der Ransomware-Landschaft zu sein. Die Operationen der Gruppe wurden zuerst von den infosec-Forschern von Heimdal Security aufgegriffen. Die Analyse der eingesetzten Ransomware-Bedrohungen hat einige sehr eigentümliche Merkmale ergeben, die DeepBlueMagic von den typischen Ransomware-Bedrohungen unterscheiden.

Einzigartiges Verhalten

Für den Anfang verwendet die Gruppe ein legitimes Festplattenverschlüsselungsprogramm von Drittanbietern namens "BestCrypt Volume Encryption" für ihren Verschlüsselungsprozess. Anstatt sich auf einzelne Dateien zu konzentrieren, sperrt DeepBlueMagic ganze Laufwerke, die mit dem kompromittierten Server verbunden sind. Die Systemfestplatte C blieb jedoch intakt und zugänglich. Es hostet das Verschlüsselungstool und seine Rettungsdatei 'rescue.rsc'. Normalerweise kann diese Datei verwendet werden, um im Falle unerwarteter Probleme vom Tool verschlüsselte Partitionen wiederherzustellen. Die von DeepBlueMagic hinterlassene Datei 'rescue.rsc' ist jedoch unbrauchbar, da sie von einem eigenen Programm verschlüsselt wurde und einen Schlüssel zum Öffnen erfordert.

Zu beachten ist, dass der Verschlüsselungsvorgang über BestCrypt Volume Encryption eingeleitet und dann sofort gestoppt wird. Dies bedeutet, dass nicht die gesamte Festplatte gesperrt wird, sondern nur die Header. Dennoch werden die betroffenen Partitionen vom System als RAW-Format und unbrauchbar erkannt.

Zusätzliche Funktionen

Bevor der Verschlüsselungsprozess gestartet wird, muss DeepBlueMagic die Umgebung auf den infizierten Systemen vorbereiten. Dies beinhaltet das Deaktivieren aller auf dem Computer erkannten Windows-Dienste von Drittanbietern. Dadurch wird sichergestellt, dass keine auf Verhaltensanalysen basierende Sicherheitssoftware am Laufen bleibt, da das Aktivieren solcher Programme zur sofortigen Erkennung der bedrohlichen Aktivitäten und deren anschließender Blockierung führen würde.

Der nächste von DeepBlueMagic durchgeführte Schritt besteht darin, die von Windows erstellten Volumeschattenkopie-Backups zu löschen. Sie zu belassen würde bedeuten, dass Benutzer möglicherweise die gesperrten Daten wiederherstellen könnten, ohne dass die Cyberkriminellen eine Eingabe benötigen. Um zu verhindern, dass Experten eine Probe der Bedrohung in die Hände bekommen, löscht die Malware ihre Datei auf dem infizierten Gerät selbst und hinterlässt nur das legitime Verschlüsselungstool und eine Lösegeldforderung in Form einer Textdatei namens „Hello world“. Die notenführende Datei wird auf dem Desktop des Systems erstellt. Der vollständige Text der Nachricht lautet:

' Hallo. Die Serverfestplatte Ihres Unternehmens wurde von uns verschlüsselt.

Wir verwenden den komplexesten Verschlüsselungsalgorithmus (AES256). Nur wir können entschlüsseln.

Bitte kontaktieren Sie uns: [E-Mail-Adresse 1]

(Bitte Spam überprüfen, fehlende E-Mails vermeiden)

Identifikationscode: ******** (Bitte teilen Sie uns den Identifikationscode mit)

Bitte kontaktieren Sie uns und wir werden Ihnen die Höhe des Lösegelds und die Zahlungsweise mitteilen.

(Wenn der Kontakt schnell ist, geben wir Ihnen einen Rabatt.)

Nach erfolgreicher Zahlung teilen wir Ihnen das Entschlüsselungspasswort mit.

Damit Sie an uns glauben, haben wir den Testserver vorbereitet. Bitte kontaktieren Sie uns und wir teilen dem Testserver mit und entschlüsseln das Passwort.

Bitte scannen Sie keine verschlüsselten Festplatten und versuchen Sie nicht, Daten wiederherzustellen. Verhindern Sie Datenbeschädigung.

!!!

Wenn wir nicht antworten. Bitte wenden Sie sich an ein alternatives Postfach: [E-Mail-Adresse 2]

Wir werden das alternative Postfach nur aktivieren, wenn das erste Postfach nicht ordnungsgemäß funktioniert. '