Los investigadores de seguridad cibern\u00e9tica han descubierto una cepa de ransomware previamente no documentada llamada Rorschach<\/strong> eso es sofisticado y r\u00e1pido.<\/p>\n “Lo que hace que Rorschach se destaque de otras cepas de ransomware es su alto nivel de personalizaci\u00f3n y sus caracter\u00edsticas t\u00e9cnicamente \u00fanicas que no se han visto antes en ransomware”, Check Point Research dicho<\/a> en un nuevo informe. “De hecho, Rorschach es uno de los cepas de ransomware m\u00e1s r\u00e1pidas<\/a> jam\u00e1s observado, en t\u00e9rminos de la velocidad de su encriptaci\u00f3n”.<\/p>\n La firma de ciberseguridad dijo que observ\u00f3 el ransomware implementado contra una empresa no identificada con sede en los EE. UU., y agreg\u00f3 que no encontr\u00f3 marcas ni superposiciones que lo conecten con ning\u00fan actor de ransomware conocido anteriormente.<\/p>\n Sin embargo, un an\u00e1lisis m\u00e1s detallado del c\u00f3digo fuente de Rorschach revela similitudes con el ransomware Babuk, que sufri\u00f3 una filtraci\u00f3n en septiembre de 2021, y LockBit 2.0. Adem\u00e1s de eso, las notas de rescate enviadas a las v\u00edctimas parecen estar inspiradas en las de Yanluowang y DarkSide.<\/p>\n El aspecto m\u00e1s significativo de la intrusi\u00f3n es el uso de una t\u00e9cnica llamada Carga lateral de DLL<\/a> para cargar la carga \u00fatil del ransomware, un m\u00e9todo que no se observa en este tipo de ataques. El desarrollo marca una nueva sofisticaci\u00f3n en los enfoques adoptados por grupos motivados financieramente para eludir la detecci\u00f3n.<\/p>\n Espec\u00edficamente, se dice que el ransomware se implement\u00f3 abusando de la herramienta de servicio de volcado Cortex XDR de Palo Alto Network (cy.exe) para descargar una biblioteca llamada “winutils.dll”.<\/p>\n Otra caracter\u00edstica \u00fanica es su naturaleza altamente personalizable y el uso de llamadas al sistema directas para manipular archivos y eludir los mecanismos de defensa.<\/p>\n El ransomware Rorschach tambi\u00e9n tiene la tarea de finalizar una lista predefinida de servicios, eliminar vol\u00famenes ocultos y copias de seguridad, borrar los registros de eventos de Windows para borrar el rastro forense, deshabilitar el firewall de Windows e incluso eliminarse despu\u00e9s de completar sus acciones.<\/p>\n La propagaci\u00f3n interna se logra poniendo en peligro el controlador de dominio y creando un pol\u00edtica de grupo<\/a>seg\u00fan Check Point y la empresa de ciberseguridad de Corea del Sur AhnLab, que err\u00f3neamente atribuido<\/a> la cadena de infecci\u00f3n a DarkSide a principios de febrero.<\/p>\n El ransomware, al igual que otras cepas de malware observadas en la naturaleza, m\u00e1quinas de saltos<\/a> que se encuentran en los pa\u00edses de la Comunidad de Estados Independientes (CEI) comprobando el idioma del sistema.<\/p>\n \u00a1Convi\u00e9rtase en un profesional de respuesta a incidentes!<\/p>\n Descubra los secretos de la respuesta a incidentes a prueba de balas: \u00a1domine el proceso de 6 fases con Asaf Perlman, l\u00edder de IR de Cynet!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n “El ransomware Rorschach emplea un esquema de criptograf\u00eda h\u00edbrida altamente efectivo y r\u00e1pido, que combina los algoritmos curve25519 y eSTREAM cipher hc-128 para fines de cifrado”, explicaron los investigadores Jiri Vinopal, Dennis Yarizadeh y Gil Gekker.<\/p>\n Este proceso est\u00e1 dise\u00f1ado para cifrar solo una parte espec\u00edfica del contenido del archivo original en lugar de todo el archivo, y emplea m\u00e9todos adicionales de optimizaci\u00f3n del compilador que lo convierten en un “demonio de la velocidad”.<\/p>\n En cinco pruebas independientes realizadas por Check Point en un entorno controlado, se cifraron 220\u00a0000 archivos mediante Rorschach en un promedio de cuatro minutos y 30 segundos. LockBit 3.0, por otro lado, tard\u00f3 aproximadamente siete minutos.<\/p>\n “Sus desarrolladores implementaron nuevas t\u00e9cnicas de evasi\u00f3n de defensa y antian\u00e1lisis para evitar la detecci\u00f3n y dificultar que el software de seguridad y los investigadores analicen y mitiguen sus efectos”, dijeron los investigadores.<\/p>\n “Adem\u00e1s, Rorschach parece haber tomado algunas de las ‘mejores’ funciones de algunos de los principales ransomwares filtrados en l\u00ednea y las integr\u00f3 todas juntas. Adem\u00e1s de las capacidades de autopropagaci\u00f3n de Rorschach, esto eleva el nivel de los ataques de rescate”.<\/p>\n Los hallazgos llegan como los laboratorios Fortinet FortiGuard detallado<\/a> dos familias de ransomware emergentes llamadas PayMe100USD, un malware de bloqueo de archivos basado en Python, y Dark Power, que est\u00e1 escrito en el lenguaje de programaci\u00f3n Nim.<\/p>\n <\/p>\n