Unit 42 de Palo Alto Networks ha publicado una investigación donde explica detalladamente el proceso de secuestro de datos que sigue el nuevo BlueSky. En su análisis encontraron huellas dactilares de código desde las muestras de BlueSky Ransomware, las cuales se conectaron con el grupo de Ransomware Conti; en particular, la arquitectura de subprocesos múltiples de BlueSky tiene similitudes de código con Conti v3, además, el módulo de búsqueda de red es una réplica exacta de este.
Los ciber atacantes están adoptando técnicas avanzadas más modernas, como la codificación y el cifrado de muestras maliciosas, o el uso de la entrega y carga de Ransomware en varias etapas para evadir las defensas de seguridad. El BlueSky Ransomware es capaz de cifrar archivos en los hosts de las víctimas a velocidades rápidas gracias a la computación multiproceso. Además, el Ransomware adopta técnicas de ofuscación, como API hashing, para ralentizar el proceso de ingeniería inversa para el analista.
Es muy probable que los ataques de Ransomware sigan creciendo con las técnicas de encriptación avanzadas y mecanismos de entrega, es por eso que Palo Alto Networks se esfuerza en mantenerse al día con sus constantes investigaciones en amenazas que se presentan cada día, informando al público y sus clientes para que siempre busquen la mejor opción en ciberseguridad.
El informe está disponible en el sitio de Palo Alto Networks (no requiere registro).