Los investigadores de seguridad cibernética han descubierto una cepa de ransomware previamente no documentada llamada Rorschach eso es sofisticado y rápido.
«Lo que hace que Rorschach se destaque de otras cepas de ransomware es su alto nivel de personalización y sus características técnicamente únicas que no se han visto antes en ransomware», Check Point Research dicho en un nuevo informe. «De hecho, Rorschach es uno de los cepas de ransomware más rápidas jamás observado, en términos de la velocidad de su encriptación».
La firma de ciberseguridad dijo que observó el ransomware implementado contra una empresa no identificada con sede en los EE. UU., y agregó que no encontró marcas ni superposiciones que lo conecten con ningún actor de ransomware conocido anteriormente.
Sin embargo, un análisis más detallado del código fuente de Rorschach revela similitudes con el ransomware Babuk, que sufrió una filtración en septiembre de 2021, y LockBit 2.0. Además de eso, las notas de rescate enviadas a las víctimas parecen estar inspiradas en las de Yanluowang y DarkSide.
El aspecto más significativo de la intrusión es el uso de una técnica llamada Carga lateral de DLL para cargar la carga útil del ransomware, un método que no se observa en este tipo de ataques. El desarrollo marca una nueva sofisticación en los enfoques adoptados por grupos motivados financieramente para eludir la detección.
Específicamente, se dice que el ransomware se implementó abusando de la herramienta de servicio de volcado Cortex XDR de Palo Alto Network (cy.exe) para descargar una biblioteca llamada «winutils.dll».
Otra característica única es su naturaleza altamente personalizable y el uso de llamadas al sistema directas para manipular archivos y eludir los mecanismos de defensa.
El ransomware Rorschach también tiene la tarea de finalizar una lista predefinida de servicios, eliminar volúmenes ocultos y copias de seguridad, borrar los registros de eventos de Windows para borrar el rastro forense, deshabilitar el firewall de Windows e incluso eliminarse después de completar sus acciones.
La propagación interna se logra poniendo en peligro el controlador de dominio y creando un política de gruposegún Check Point y la empresa de ciberseguridad de Corea del Sur AhnLab, que erróneamente atribuido la cadena de infección a DarkSide a principios de febrero.
El ransomware, al igual que otras cepas de malware observadas en la naturaleza, máquinas de saltos que se encuentran en los países de la Comunidad de Estados Independientes (CEI) comprobando el idioma del sistema.
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de la respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 fases con Asaf Perlman, líder de IR de Cynet!
«El ransomware Rorschach emplea un esquema de criptografía híbrida altamente efectivo y rápido, que combina los algoritmos curve25519 y eSTREAM cipher hc-128 para fines de cifrado», explicaron los investigadores Jiri Vinopal, Dennis Yarizadeh y Gil Gekker.
Este proceso está diseñado para cifrar solo una parte específica del contenido del archivo original en lugar de todo el archivo, y emplea métodos adicionales de optimización del compilador que lo convierten en un «demonio de la velocidad».
En cinco pruebas independientes realizadas por Check Point en un entorno controlado, se cifraron 220 000 archivos mediante Rorschach en un promedio de cuatro minutos y 30 segundos. LockBit 3.0, por otro lado, tardó aproximadamente siete minutos.
«Sus desarrolladores implementaron nuevas técnicas de evasión de defensa y antianálisis para evitar la detección y dificultar que el software de seguridad y los investigadores analicen y mitiguen sus efectos», dijeron los investigadores.
«Además, Rorschach parece haber tomado algunas de las ‘mejores’ funciones de algunos de los principales ransomwares filtrados en línea y las integró todas juntas. Además de las capacidades de autopropagación de Rorschach, esto eleva el nivel de los ataques de rescate».
Los hallazgos llegan como los laboratorios Fortinet FortiGuard detallado dos familias de ransomware emergentes llamadas PayMe100USD, un malware de bloqueo de archivos basado en Python, y Dark Power, que está escrito en el lenguaje de programación Nim.