Vergangene Woche wurde das Team von Sicherheitsexperten bei Heimdal über einen Sicherheitsvorfall informiert, der sich als neuer Ransomware-Stamm herausstellte. Der Name der Ransomware stand in einer Ransomware-Notiz, die von einer Gruppe unterzeichnet wurde, die sich selbst „DeepBlueMagic“ nannte.
Dieser neue Ransomware-Stamm ist komplex und weist ein gewisses Maß an Innovation gegenüber dem standardmäßigen Dateiverschlüsselungsansatz der meisten anderen Ransomwares auf.
Aufschlüsselung des Vorfalls des DeepBlueMagic-Ransomware-Angriffs
Auf dem betroffenen Gerät, von dem die Ransomware-Infektion ausging, wurde Windows-Server 2012 R2 ausgeführt. Durch den geschickten Einsatz eines legitimen Festplattenverschlüsselungstools eines Drittanbieters startete die DeepBlueMagic-Ransomware den Verschlüsselungsprozess der Dateien nicht auf dem Endpunkt des Ziels, wie es bei Ransomware normalerweise der Fall ist, sondern auf den verschiedenen Festplatten der Server, mit Ausnahme des Systemlaufwerks („C:\“-Partition). Das legitime Drittanbieter-Tool zur Festplattenverschlüsselung ist „BestCrypt Volume Encryption“ von Jetico.
Die „BestCrypt Volume Encryption“ war noch auf der zugänglichen Festplatte C vorhanden, zusammen mit einer Datei namens „rescue.rsc“, einer Rettungsdatei, die gewöhnlich von Jeticos Software verwendet wird, um die Partition im Schadensfall wiederherzustellen. Aber im Gegensatz zu der legitimen Anwendung der Software wurde auch die Rettungsdatei selbst verschlüsselt, wobei derselbe Mechanismus verwendet wurde. Zudem war ein Passwort erforderlich, um die Datei öffnen zu können.
Dies ist ein sehr ungewöhnlicher Modus Operandi für einen Ransomware-Stamm, da sich diese Infektionen meistens auf Dateien konzentrieren.
Die DeepBlueMagic-Ransomware verwendet das Produkt von Jetico, um die Verschlüsselung auf allen Laufwerken außer dem Systemlaufwerk zu starten. Die Maschine wurde mit intaktem Laufwerk „C:\“ vorgefunden, das in keiner Weise verschlüsselt war. Nicht verwunderlich, da das Systemlaufwerk C meist kein lukratives Ransomware-Ziel ist. Denn wertvolle Dateien liegen in der Regel auf anderen Partitionen und nicht auf dem Systemlaufwerk, das zum Ausführen ausführbarer Dateien und zum Ausführen von Operationen verwendet wird. Eine Textdatei auf dem Desktop enthielt entsprechende Lösegeldinformationen.
In diesem Fall wurde das Laufwerk „D:\“ in eine RAW-Partition und nicht in das übliche NTFS umgewandelt, sodass darauf nicht zugegriffen werden konnte. Jeder Zugriffsversuch würde dazu führen, dass die Benutzeroberfläche des Windows-Betriebssystems den Benutzer auffordert, die Formatierung der Festplatte zu akzeptieren, da das Laufwerk nach der Verschlüsselung beschädigt aussieht.
Weitere Analysen ergaben, dass der Verschlüsselungsprozess mit dem Produkt von Jetico gestartet und direkt nach seiner Initiierung gestoppt wurde. Daher wurde das Laufwerk nach diesem Durchstartprozess nur teilweise verschlüsselt, wobei nur die Volume-Header betroffen waren. Die Verschlüsselung kann entweder fortgesetzt oder mit der Rettungsdatei von Jeticos „BestCrypt Volume Encryption“ wiederhergestellt werden, aber auch diese Datei wurde von den Ransomware-Betreibern verschlüsselt.
Darüber hinaus räumte die Ransomware die Bühne vor Beginn der Verschlüsselung. Vor der Verwendung von Jeticos „BestCrypt Volume Encryption“ stoppte die Schadsoftware jeden auf dem Computer gefundenen Windows-Dienst von Drittanbietern, um sicherzustellen, dass jede Sicherheitssoftware, die auf Verhaltensanalysen basiert, deaktiviert wird. Das Aktivieren solcher Dienste hätte zu ihrer sofortigen Erkennung und Sperrung geführt.
Danach löschte DeepBlueMagic die Volumeschattenkopie von Windows, um sicherzustellen, dass eine Wiederherstellung für die betroffenen Laufwerke nicht möglich ist, und da es sich auf einem Windows-Server-Betriebssystem befand, versuchte es, Bitlocker auf allen Endpunkten in diesem Active-Directory zu aktivieren.
Heimdal hat bereits vor der Schwachstelle von Volume-Shadow-Copy seine Kunden gewarnt und darüber, dass die meisten Anti-Ransomware-Sicherheitsprodukte versagen können, wenn sie darauf basieren.
Auf dem betroffenen Server wurden in den Überwachungsprotokollen keine fehlgeschlagenen Anmeldeversuche gefunden, sodass der Einstiegspunkt nicht auf einem Brute-Force-Versuch beruhte. Auf dem Server war nur ein Microsoft-Dynamics-AAX mit einem Microsoft-SQL-Server installiert.
„Leider hat die Ransomware auch alle Spuren der ursprünglichen ausführbaren Datei mit Ausnahme der Spuren des legitimen Jetico-Tools selbst gelöscht. Das bedeutet, dass wir dieses Mal keine Probe davon erhalten haben, damit wir weitere Analysen in einer sicheren virtuellen Maschinenumgebung durchführen können. Aber die Informationen, die wir im Moment haben, reichen aus, um seine Funktionsweise zu erkennen und den Schutz davor in die nächste Version von Heimdal-Ransomware-Encryption-Protection aufzunehmen“, erklärt Robertino Matausch, Cybersecurityspezialist bei Heimdal.