BlueSky ransomware es una familia emergente que ha optado por técnicas modernas para evitar las defensas de seguridad.

El Ransomware es un programa malicioso designado a encriptar los datos del usuario y pedir un rescate por el descifrado. BlueSky ataca principalmente a sistemas Windows, y utiliza el subprocesamiento múltiple para cifrar los archivos en el host, estrategia más rápida que la estándar.

Los expertos de Unit 42 de Palo Alto Networks revelaron su más reciente investigación en la que explican de manera detallada el proceso de secuestro de datos que sigue el nuevo BlueSky. En su análisis encontraron huellas dactilares de código desde las muestras de BlueSky Ransomware, las cuales se conectaron con el grupo de Ransomware Conti; en particular, la arquitectura de subprocesos múltiples de BlueSky tiene similitudes de código con Conti v3, además, el módulo de búsqueda de red es una réplica exacta de este.

Así es el mensaje que envían los ciberdelincuentes

Los ciber atacantes están adoptando técnicas avanzadas más modernas, como la codificación y el cifrado de muestras maliciosas, o el uso de la entrega y carga de Ransomware en varias etapas para evadir las defensas de seguridad. El BlueSky Ransomware es capaz de cifrar archivos en los hosts de las víctimas a velocidades rápidas gracias a la computación multiproceso. Además, el Ransomware adopta técnicas de ofuscación, como API hashing, para ralentizar el proceso de ingeniería inversa para el analista.

Los clientes de Palo Alto Networks reciben protección contra BlueSky Ransomware y otros tipos de Ransomware a través de Cortex XDR, el firewall de próxima generación y servicios de seguridad en la nube, incluido WildFire; asimismo, la suscripción de filtrado de URL avanzado proporciona análisis de URL en tiempo real y prevención de malware.

El cifrado de archivos de BlueSky es similar a Babuk Ransomware: ambos usan Curve25519 para generar una clave pública para el host y generan una clave compartida con la clave pública del atacante. Después de generar un par de claves de curva elíptica, BlueSky calcula un hash de la clave compartida y lo usa para generar una clave de cifrado de archivos para el algoritmo ChaCha20. Finalmente, lee el búfer del archivo, lo encripta con ChaCha20 y reemplaza el contenido del archivo original

Es muy probable que los ataques de Ransomware sigan creciendo con las técnicas de encriptación avanzadas y mecanismos de entrega, es por eso que Palo Alto Networks se esfuerza en mantenerse al día con sus constantes investigaciones en amenazas que se presentan cada día, informando al público y sus clientes para que siempre busquen la mejor opción en ciberseguridad.

Autor

Artículos relacionadosMás del autor