Novo ransomware Rorschach é o mais rápido criptografador já visto até o momento
5 de Abril de 2023

Após um ciberataque em uma empresa dos Estados Unidos, pesquisadores de malware descobriram o que parece ser uma nova cepa de ransomware com "recursos tecnicamente únicos", que eles nomearam de Rorschach.

Entre as capacidades observadas está a velocidade de criptografia, que, de acordo com testes dos pesquisadores, tornaria o Rorschach a ameaça de ransomware mais rápida atualmente.

Os analistas descobriram que os hackers implantaram o malware na rede da vítima depois de explorar uma fraqueza em uma ferramenta de detecção de ameaças e resposta a incidentes.

Pesquisadores da empresa de cibersegurança Check Point, em resposta a um incidente em uma empresa nos Estados Unidos, descobriram que o Rorschach foi implantado usando a técnica de carregamento lateral de DLL por meio de um componente assinado no Cortex XDR, o produto de detecção e resposta estendida da Palo Alto Networks.

O atacante usou a ferramenta de serviço de despejo do Cortex XDR (cy.exe) versão 7.3.0.16740 para carregar o carregador e injetor do Rorschach (winutils.dll), que levou ao lançamento da payload de ransomware, "config.ini", em um processo do Bloco de notas.

O arquivo do carregador apresenta proteção anti-análise do estilo UPX, enquanto a payload principal é protegida contra engenharia reversa e detecção virtualizando partes do código usando o software VMProtect.

A Check Point relata que o Rorschach cria uma Política de Grupo quando executado em um Controlador de Domínio do Windows para se propagar para outros hosts no domínio.

Após comprometer uma máquina, o malware apaga quatro registros de eventos (Aplicativo, Segurança, Sistema e Windows Powershell) para apagar seu rastro.

Embora venha com configuração codificada, o Rorschach suporta argumentos de linha de comando que expandem a funcionalidade.

A Check Point observa que as opções estão ocultas e não podem ser acessadas sem engenharia reversa do malware.

Abaixo estão alguns dos argumentos descobertos pelos pesquisadores:
O Rorschach iniciará a criptografia de dados somente se a máquina da vítima estiver configurada com um idioma fora da Comunidade dos Estados Independentes (CEI).

O esquema de criptografia mistura os algoritmos de curva25519 e cifra hc-128 e segue a tendência de criptografia intermitente, o que significa que ele criptografa os arquivos apenas parcialmente, aumentando a velocidade de processamento.

Os pesquisadores observam que a rotina de criptografia do Rorschach indica "uma implementação altamente eficaz de agendamento de threads via portas de conclusão de I/O".

Para descobrir quão rápida é a criptografia do Rorschach, a Check Point configurou um teste com 220.000 arquivos em uma máquina com CPU de 6 núcleos.

Levou 4,5 minutos para o Rorschach criptografar os dados, enquanto o LockBit v3.0, considerado a cepa de ransomware mais rápida, terminou em 7 minutos.

Após bloquear o sistema, o malware deixa uma nota de resgate semelhante ao formato usado pelo ransomware Yanlowang.

Segundo os pesquisadores, uma versão anterior do malware usava uma nota de resgate semelhante ao que o DarkSide usava.

A Check Point diz que essa semelhança é provavelmente o que fez com que outros pesquisadores confundissem uma versão diferente do Rorschach com o DarkSide, uma operação que mudou de marca para BlackMatter em 2021 e desapareceu no mesmo ano.

Os membros do BlackMatter alteraram a operação de ransomware ALPHV/BlackCat, que foi lançada em novembro de 2021.

A Check Point avalia que o Rorschach implementou os recursos melhores de algumas das principais cepas de ransomware vazadas online (Babuk, LockBit v2.0, DarkSide).

Junto com as capacidades de auto-propagação, o malware "eleva o nível dos ataques de ransomware".
No momento, os operadores do ransomware Rorschach permanecem desconhecidos e não há marca registrada, algo raramente visto na cena do ransomware.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...