Alertan sobre un nuevo ransomware que aplica cifrado a nivel de disco

  • Noticias y Actualidad

Ransomware

Expertos en ciberseguridad han descubierto una nueva variedad de ransomware, denominado DeepBlueMagic, que es capaz de aplicar cifrado directamente a las unidades de disco duro de servidores y ordenadores, y a los archivos de recuperación. Esto hace que la recuperación de los datos alojados en estas unidades sea casi imposible sin la clave de cifrado, por lo que recomiendan a las organizaciones extremar las precauciones y reforzar la seguridad y la vigilancia.

La mayoría del ransomware “tradicional” se diseña para cifrar archivos en sistemas de terminales, pero los expertos de Heimdal Security acaban de descubrir un nuevo ransomware que va mucho más allá. Se trata de DeepBlueMagic, un malware capaz de aplicar cifrado a unidades enteras de disco duro, que además elimina Volume Shadow Copy para Windows, lo que convierte en casi imposible la recuperación de los datos en las unidades afectadas. Además, se centra en el secuestro de unidades de almacenamiento que no son las de sistema, por lo que tiene más potencial para pasar desapercibido.

La detección de este peligroso malware se realizó mediante la herramienta de cifrado de terceros BestCrypt Volume Encryption, de la firma Jetico, cuando se disponían a iniciar el cifrado en todas las unidades de disco de un servidor basado en Windows Server 2012 R2, excepto la principal, que estaba infectada. Los expertos de Heimdal, localizaron la herramienta de cifrado, junto con un archivo de rescate (rescue.rsc), empleado por este software para recuperar particiones dañadas. Pero encontraron que este archivo se encontraba cifrado y requería una contraseña para abrirlo, algo inusual que hizo saltar las alarmas.

En el artículo publicado en el medio DatacenterKnowledge, donde explican los detalles de este hallazgo, comentan que no han sido capaces de determinar cómo los ciberdelincuentes obtuvieron acceso al sistema, y que tampoco pudieron obtener muestras del ejecutable original, ya que el ransomware se autoeliminó del sistema. Sus pesquisas demostraron que DeepBlueMagic había comenzado a cifrar uno de los discos duros secundarios, pero paralizó el proceso al ser detectado. Como resultado, la unidad quedó parcialmente cifrada, convirtiendo ese fragmento en una partición RAW, en la que la escritura del sistema de archivos está dañada y el sistema no es capa de reconocer los datos almacenados en ella.

En el informe que han publicado, los expertos de Heimdal afirma que “cualquier intento de acceso haría que la interfaz del sistema operativo Windows solicitara al usuario que aceptara formatear el disco, ya que la unidad parece rota una vez encriptada”. Y, aunque generalmente este software de cifrado legítimo podría haber utilizado el archivo de rescate para restaurar la unidad, al estar cifrado por el malware resulta imposible.

Además, explican que DeepBlueMagic está diseñado para deshabilitar la mayoría de herramientas de detección de amenazas basadas en el comportamiento que se ejecutan en los servidores, antes de iniciar cualquier proceso de cifrado, lo que aumenta su capacidad para pasar desapercibido. Para ello, como otras variantes modernas de ransomware, detiene todos los servicios de Windows de terceros que se están ejecutando en el sistema. Después, se dedica a cifrar los discos duros objetivo y, una vez terminado el proceso, elimina la instantánea de volumen de Windows para que no se puedan restaurar las unidades cifradas. Además, Heimdal dice que este ransomware aprovechó su presencia inadvertida en el servidor para intentar activar el software de cifrado BitLocker de Microsotf en todos los puntos finales del Directorio Activo de la organización.

Esta nueva variante de ransomware se muestra como un gran riesgo para los datos almacenados en servidores empresariales, y los expertos en ciberseguridad están alertando a las empresas sobre esta nueva amenaza, de la que no es tan fácil protegerse. En el artículo de DatacenterKnowledge donde Heimdal ha explicado este hallazgo se hacen eco de las opiniones de otros expertos en la materia.

Por ejemplo, de Dirk Schrader, vicepresidente global de investigación de seguridad de New Net Technologies (Netwrix), quien explica que “el cifrado basado en archivos tiende a descubrirse durante el proceso, especialmente cuando se va a cifrar una mayor cantidad de archivos. Pero cifrar el volumen es un enfoque diferente y más versátil, ya que también puede extenderse fácilmente a través de los niveles de RAID, siendo independiente de los aspectos físicos del sistema RAID”. Así, la sistemática de esta variedad de ransomware hace que la infección sea más fácil, y la recuperación mucho más difícil o, incluso, imposible.