Detecção de Ransomware BlueSky: Alvo em Hosts Windows e Aproveitamento de Multithreading para Criptografia Mais Rápida

O ransomware BlueSky representa uma família de malware em rápida evolução que envolve capacidades sofisticadas de análise anti-forense e constantemente melhora suas técnicas de evasão. O ransomware BlueSky tem como alvo hosts Windows e baseia-se em uma técnica de multithreading para criptografia de arquivos mais rápida. Pesquisadores de cibersegurança atribuem os padrões de ransomware revelados à atividade adversária do infame grupo de ransomware Conti, que há muito representa uma ameaça severa para organizações globais. Notavelmente, a estrutura de código multithread das variantes maliciosas do BlueSky se assemelha à terceira versão do ransomware do grupo Conti, que aplica uma rotina de criptografia aprimorada com base em técnicas de multithreading e evasão avançada.

Detectar Ransomware BlueSky

Para assegurar uma proteção oportuna contra as variantes de ransomware BlueSky no ambiente da organização, a plataforma da SOC Prime lançou recentemente uma nova regra Sigma desenvolvida por nosso ágil colaborador de conteúdo Threat Bounty, Kyaw Pyiyt Htet (Mik0yan). Siga o link abaixo para acessar a regra Sigma diretamente disponível no Mecanismo de Busca de Ameaças Cibernéticas da SOC Prime, junto com metadados contextuais abrangentes:

Possível Atividade de Persistência do Ransomware BlueSky por Detecção de Chaves de Registro Associadas (via Registy_Event)

Esta consulta de caça a ameaças baseada em Sigma detecta as chaves de registro associadas ao ransomware BlueSky. A detecção pode ser convertida para 22 soluções SIEM, EDR e XDR suportadas pela plataforma da SOC Prime e está alinhada com o framework MITRE ATT&CK® abordando as táticas de Persistência e Evasão de Defesa junto com as técnicas correspondentes de Execução de Inicialização ou Logon (T1547) e Modificar Registro (T1112).

Usando o módulo Quick Hunt da SOC Prime, os profissionais de cibersegurança podem procurar instantaneamente a atividade adversária associada ao ransomware BlueSky executando a consulta mencionada acima em seu ambiente SIEM ou EDR.

Você é um engenheiro de detecção experiente ansioso para contribuir para a defesa cibernética colaborativa? Junte-se ao Programa Threat Bounty da SOC Prime, envie suas próprias regras Sigma, publique-as em nossa plataforma Detection as Code, e obtenha recompensas recorrentes enquanto torna o mundo um lugar mais seguro.

Para manter-se atualizado sobre ataques de ransomware em rápida evolução, as equipes de segurança podem aproveitar a coleção completa de regras Sigma relevantes disponíveis na plataforma da SOC Prime clicando no botão Detect & Hunt abaixo. Usuários não registrados da SOC Prime também podem se beneficiar de nosso Mecanismo de Busca de Ameaças Cibernéticas e explorar a informação contextual abrangente relacionada ao ransomware, incluindo referências do MITRE ATT&CK e CTI e metadados mais relevantes, clicando no botão Explore Threat Context abaixo.

Detect & Hunt Explore Threat Context

Análise do Ransomware BlueSky

No início de agosto de 2022, especialistas em segurança descobriram uma nova família de ransomware representando uma ameaça crescente para organizações em todo o mundo. Apelidado de BlueSky, a nova ameaça tem como alvo principal os hosts Windows e utiliza uma técnica de multithreading para criptografia de dados mais rápida. Além disso, o malware aplica uma variedade de técnicas avançadas de evasão e ofuscação para passar despercebido e garantir altas taxas de infecção.

De acordo com a investigação da CloudSEK, a cadeia de ataque começa com um dropper PowerShell que baixa a carga útil do BlueSky a partir de hxxps://kmsauto[.]us/someone/start.ps1. Este domínio falso registrado em setembro de 2020 imita uma antiga ferramenta de ativação chamada KMSAuto Net Activator. Com alto nível de confiança, acredita-se ser operado por atores maliciosos de origem russa.

Notavelmente, antes de liberar a carga útil final do BlueSky, o dropper PowerShell realiza uma escalada de privilégios locais, seja com a ajuda da ferramenta JuicyPotato, seja explorando as vulnerabilidades CVE-2020-0796 e CVE-2021-1732. Em seguida, a carga final do ransomware é instalada no host da vítima como um arquivo javaw.exe, tentando se disfarçar como uma aplicação legítima do Windows.

Na próxima etapa do ataque, o BlueSky criptografa os arquivos dos usuários adicionando a extensão de arquivo .bluesky . O ransomware utiliza uma abordagem de multithreading para garantir um processo de criptografia ultrarrápido. Essa arquitetura multithread compartilha semelhanças com a cepa Conti v3, no entanto, o BlueSky aplica diferentes algoritmos de criptografia. A pesquisa da Unit42 revela que o ransomware BlueSky utiliza ChaCha20 para criptografia de arquivos e Curve25519 para chave, o que se assemelha à rotina do ransomware Babuk.

Além disso, o ransomware BlueSky utiliza truques sofisticados de evasão. Notavelmente, os operadores de ransomware codificam e criptografam amostras maliciosas, utilizam entregas e carregamentos de carga útil em várias etapas e adotam técnicas de ofuscação, como hashing de API.

À medida que os ataques de ransomware crescem em alcance e escala, os pesquisadores de segurança necessitam de ferramentas inovadoras para detectar ameaças emergentes e manter-se um passo à frente dos atacantes. Junte-se à plataforma Detection as Code da SOC Prime para identificar os ataques mais recentes com a maior coleção de regras Sigma do mundo, melhorar a fonte de log e a cobertura do MITRE ATT&CK, e contribuir ativamente para o fortalecimento das capacidades de defesa cibernética de sua organização. Caçadores de Ameaças experientes e Engenheiros de Detecção são mais do que bem-vindos para se juntar Programa Threat Bounty da SOC Prime – à iniciativa de crowdsourcing da SOC Prime, para compartilhar seus algoritmos de detecção com a comunidade de cibersegurança, contribuir para a defesa cibernética colaborativa, e ganhar pagamentos repetidos por suas contribuições.