Novo ransomware Rorschach é o mais rápido criptografador já visto até o momento
5 de Abril de 2023

Após um ciberataque em uma empresa dos Estados Unidos, pesquisadores de malware descobriram o que parece ser uma nova cepa de ransomware com "recursos tecnicamente únicos", que eles nomearam de Rorschach.

Entre as capacidades observadas está a velocidade de criptografia, que, de acordo com testes dos pesquisadores, tornaria o Rorschach a ameaça de ransomware mais rápida atualmente.

Os analistas descobriram que os hackers implantaram o malware na rede da vítima depois de explorar uma fraqueza em uma ferramenta de detecção de ameaças e resposta a incidentes.

Pesquisadores da empresa de cibersegurança Check Point, em resposta a um incidente em uma empresa nos Estados Unidos, descobriram que o Rorschach foi implantado usando a técnica de carregamento lateral de DLL por meio de um componente assinado no Cortex XDR, o produto de detecção e resposta estendida da Palo Alto Networks.

O atacante usou a ferramenta de serviço de despejo do Cortex XDR (cy.exe) versão 7.3.0.16740 para carregar o carregador e injetor do Rorschach (winutils.dll), que levou ao lançamento da payload de ransomware, "config.ini", em um processo do Bloco de notas.

O arquivo do carregador apresenta proteção anti-análise do estilo UPX, enquanto a payload principal é protegida contra engenharia reversa e detecção virtualizando partes do código usando o software VMProtect.

A Check Point relata que o Rorschach cria uma Política de Grupo quando executado em um Controlador de Domínio do Windows para se propagar para outros hosts no domínio.

Após comprometer uma máquina, o malware apaga quatro registros de eventos (Aplicativo, Segurança, Sistema e Windows Powershell) para apagar seu rastro.

Embora venha com configuração codificada, o Rorschach suporta argumentos de linha de comando que expandem a funcionalidade.

A Check Point observa que as opções estão ocultas e não podem ser acessadas sem engenharia reversa do malware.

Abaixo estão alguns dos argumentos descobertos pelos pesquisadores:
O Rorschach iniciará a criptografia de dados somente se a máquina da vítima estiver configurada com um idioma fora da Comunidade dos Estados Independentes (CEI).

O esquema de criptografia mistura os algoritmos de curva25519 e cifra hc-128 e segue a tendência de criptografia intermitente, o que significa que ele criptografa os arquivos apenas parcialmente, aumentando a velocidade de processamento.

Os pesquisadores observam que a rotina de criptografia do Rorschach indica "uma implementação altamente eficaz de agendamento de threads via portas de conclusão de I/O".

Para descobrir quão rápida é a criptografia do Rorschach, a Check Point configurou um teste com 220.000 arquivos em uma máquina com CPU de 6 núcleos.

Levou 4,5 minutos para o Rorschach criptografar os dados, enquanto o LockBit v3.0, considerado a cepa de ransomware mais rápida, terminou em 7 minutos.

Após bloquear o sistema, o malware deixa uma nota de resgate semelhante ao formato usado pelo ransomware Yanlowang.

Segundo os pesquisadores, uma versão anterior do malware usava uma nota de resgate semelhante ao que o DarkSide usava.

A Check Point diz que essa semelhança é provavelmente o que fez com que outros pesquisadores confundissem uma versão diferente do Rorschach com o DarkSide, uma operação que mudou de marca para BlackMatter em 2021 e desapareceu no mesmo ano.

Os membros do BlackMatter alteraram a operação de ransomware ALPHV/BlackCat, que foi lançada em novembro de 2021.

A Check Point avalia que o Rorschach implementou os recursos melhores de algumas das principais cepas de ransomware vazadas online (Babuk, LockBit v2.0, DarkSide).

Junto com as capacidades de auto-propagação, o malware "eleva o nível dos ataques de ransomware".
No momento, os operadores do ransomware Rorschach permanecem desconhecidos e não há marca registrada, algo raramente visto na cena do ransomware.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...