Los investigadores de Heimdal Security descubrieron la nueva variante de ransomware el miércoles 11 de agosto de 2021, que está siendo utilizada por un grupo de amenazas que se hacen llamar DeepBlueMagic. Este ransomware funciona de una manera completamente diferente a cualquier otro ransomware encontrado en el pasado.
Este ransomware utiliza una herramienta de cifrado de terceros llamada BestCrypt Volume Encryption de Jetico. En lugar de cifrar primero los archivos en el sistema de la víctima, el ransomware primero apuntó a diferentes unidades en el servidor, con la excepción de la unidad del sistema ubicada en la partición "C: \"). ”El cifrado de volumen BestCrypt estaba presente en el disco accesible, C, junto con un archivo llamado“ rescue.rsc ”, un archivo de rescate comúnmente utilizado por estas clases de amenazas para recuperar la partición en caso de daño. Pero a diferencia de los usos legítimos del software, el producto también cifró el archivo de rescate en sí, utilizando el mismo mecanismo y requiriendo una contraseña para abrirlo.
Desafortunadamente, el ransomware DeepBlueMagic también elimina las instantáneas de volumen para garantizar que la restauración de archivos no sea posible. Dado que se detectó en un sistema operativo de servidor Windows, el ransomware también intentó activar Bitlocker en todos los puntos finales de ese directorio activo, por lo que lo mejor que podemos hacer es guardar copias de seguridad de muestra en otros dispositivos externos.
Afortunadamente, parece que es posible eludir parcialmente este ransomware o al menos en el caso del servidor comprometido que analizó Heimdal. Según Heimdal, el servidor afectado se restauró porque el ransomware solo inició el proceso de cifrado, sin seguirlo realmente. Básicamente, el ransomware DeepBlueMagic solo encriptaba los encabezados de la partición afectada, para romper la función de Windows Shadow Volumes ”, compartieron los investigadores.