El Ransomware es un programa malicioso designado a encriptar los datos del usuario y pedir un rescate por el descifrado. BlueSky ataca principalmente a sistemas Windows, y utiliza el subprocesamiento múltiple para cifrar los archivos en el host, estrategia más rápida que la estándar.
Los expertos de Unit 42 de Palo Alto Networks, empresa líder mundial en ciberseguridad, revelaron su más reciente investigación en la que explican de manera detallada el proceso de secuestro de datos que sigue el nuevo BlueSky. En su análisis encontraron huellas dactilares de código desde las muestras de BlueSky Ransomware, las cuales se conectaron con el grupo de Ransomware Conti; en particular, la arquitectura de subprocesos múltiples de BlueSky tiene similitudes de código con Conti v3, además, el módulo de búsqueda de red es una réplica exacta de este.
Los ciber atacantes están adoptando técnicas avanzadas más modernas, como la codificación y el cifrado de muestras maliciosas, o el uso de la entrega y carga de Ransomware en varias etapas para evadir las defensas de seguridad. El BlueSky Ransomware es capaz de cifrar archivos en los hosts de las víctimas a velocidades rápidas gracias a la computación multiproceso. Además, el Ransomware adopta técnicas de ofuscación, como API hashing, para ralentizar el proceso de ingeniería inversa para el analista.
Los clientes de Palo Alto Networks reciben protección contra BlueSky Ransomware y otros tipos de Ransomware a través de Cortex XDR, el firewall de próxima generación y servicios de seguridad en la nube, incluido WildFire; asimismo, la suscripción de filtrado de URL avanzado proporciona análisis de URL en tiempo real y prevención de malware.
Es muy probable que los ataques de Ransomware sigan creciendo con las técnicas de encriptación avanzadas y mecanismos de entrega.