Bluesky

Überblick

BlueSky ist eine finanziell motivierte Ransomware-Gruppierung, die über einen begrenzten Zeitraum aktiv war. Ihr Verschlüsselungsprogramm ist auf hohe Geschwindigkeit ausgelegt: Es arbeitet mehrfädig (multi-threaded) und setzt eine Kombination aus den kryptografischen Verfahren ChaCha20 und Curve25519 ein, um Dateien auf befallenen Systemen rasch zu sperren. Als Ziel der Schadsoftware werden Windows-Hosts genannt. Auffällig ist die erhebliche Überschneidung des Programmcodes mit den Ransomware-Familien Conti (in den Versionen v2 und v3) sowie Babuk, was auf gemeinsam genutzte oder übernommene Codebestandteile hindeutet. Auf dieser Grundlage wird BlueSky mit hoher Zuversicht Bedrohungsakteuren russischen Ursprungs zugerechnet. Das Vorgehen folgt damit dem für finanziell motivierte Ransomware typischen Muster der Datenverschlüsselung mit anschließender Erpressung, wobei die technische Verwandtschaft zu etablierten Ransomware-Familien die Einordnung der Gruppe in das weitere Umfeld dieser Akteure stützt.