El BlueSky Ransomware es una nueva extensión descubierta por los investigadores y tiene muchas similitudes con otro grupo famoso conocido como Conti.
BlueSky comenzó a propagarse rápidamente en Internet a través de un sitio web de cifrado falso. Al enviar sus archivos para ser encriptados, la víctima los recibía contaminados con el ransomware y todos sus datos quedaban cifrados.
El cifrado añade la extensión “.bluesky” en todos los archivos impidiendo el acceso a los mismos. Además, dos notas de rescate con los nombres “# DECRYPT FILES BLUESKY #.txt” y “# DECRYPT FILES BLUESKY #.html” se fijan en el escritorio con instrucciones sobre cómo recuperar sus archivos.
Las cantidades requeridas por el grupo en la primera semana son de 0,1 Bitcoin, después del plazo de 7 días la cantidad aumenta a 0,2 Bitcoin. Una vez transcurrido el periodo de 14 días desde el inicio del ataque, la víctima pierde la oportunidad de conseguir la clave de descifrado mediante la negociación.
Hasta ahora, no hay nada inusual en comparación con otros grupos de ransomware. Sin embargo, lo que ha llamado la atención de los investigadores es la similitud con otras dos extensiones, el ransomware Conti y Babuk.
A través de la investigación, fue posible identificar que BlueSky utiliza el mismo módulo de búsqueda que Conti V3, literalmente una copia exacta de la tarea.
Y con respecto a Babuk, las similitudes son aún mayores, ya que si analizamos tanto el algoritmo de cifrado (ChaCha20) como el generador de claves (Curve25519), ambos grupos utilizan el mismo.
Hasta ahora no hay pruebas suficientes para confirmar que las extensiones estén relacionadas.
Recuperar los archivos encriptados por el BlueSky ransomware
Digital Recovery se ha especializado en los últimos años en la recuperación de datos cifrados por ransomware. Con más de 23 años en el mercado, hemos adquirido la experiencia para tratar con archivos perdidos en varios modelos de almacenamiento, incluyendo: Máquinas Virtuales, RAID, Almacenamiento, Bases de Datos, Cintas Magnéticas y otros.
Sabemos que los ataques de ransomware pueden paralizar completamente el funcionamiento de una empresa. Con esto en mente, proporcionamos un equipo dispuesto a trabajar en modo de emergencia para entregar sus datos en el menor tiempo posible, operando hasta las 24 horas del día para ello.
Nuestro servicio cumple plenamente con la Ley General Data Protection Regulation (GDPR), garantizando la recuperación completa de su negocio dentro de la legalidad.
Y para evitar ensuciar el nombre o la reputación de una empresa, valoramos la confidencialidad de nuestras operaciones. Por lo tanto, en cada caso proporcionamos un Acuerdo de No Divulgación (NDA).
Póngase en contacto con uno de nuestros representantes ahora mismo en el idioma de su elección y solicite su diagnóstico
