Após um ciberataque em uma empresa dos Estados Unidos, pesquisadores de malware descobriram o que parece ser uma nova cepa de ransomware com "recursos tecnicamente únicos", que eles nomearam de Rorschach.
Entre as capacidades observadas está a velocidade de criptografia, que, de acordo com testes dos pesquisadores, tornaria o Rorschach a ameaça de ransomware mais rápida atualmente.
Os analistas descobriram que os hackers implantaram o malware na rede da vítima depois de explorar uma fraqueza em uma ferramenta de detecção de ameaças e resposta a incidentes.
Pesquisadores da empresa de cibersegurança Check Point, em resposta a um incidente em uma empresa nos Estados Unidos, descobriram que o Rorschach foi implantado usando a técnica de carregamento lateral de DLL por meio de um componente assinado no Cortex XDR, o produto de detecção e resposta estendida da Palo Alto Networks.
O atacante usou a ferramenta de serviço de despejo do Cortex XDR (cy.exe) versão 7.3.0.16740 para carregar o carregador e injetor do Rorschach (winutils.dll), que levou ao lançamento da payload de ransomware, "config.ini", em um processo do Bloco de notas.
O arquivo do carregador apresenta proteção anti-análise do estilo UPX, enquanto a payload principal é protegida contra engenharia reversa e detecção virtualizando partes do código usando o software VMProtect.
A Check Point relata que o Rorschach cria uma Política de Grupo quando executado em um Controlador de Domínio do Windows para se propagar para outros hosts no domínio.
Após comprometer uma máquina, o malware apaga quatro registros de eventos (Aplicativo, Segurança, Sistema e Windows Powershell) para apagar seu rastro.
Embora venha com configuração codificada, o Rorschach suporta argumentos de linha de comando que expandem a funcionalidade.
A Check Point observa que as opções estão ocultas e não podem ser acessadas sem engenharia reversa do malware.
Abaixo estão alguns dos argumentos descobertos pelos pesquisadores:
O Rorschach iniciará a criptografia de dados somente se a máquina da vítima estiver configurada com um idioma fora da Comunidade dos Estados Independentes (CEI).
O esquema de criptografia mistura os algoritmos de curva25519 e cifra hc-128 e segue a tendência de criptografia intermitente, o que significa que ele criptografa os arquivos apenas parcialmente, aumentando a velocidade de processamento.
Os pesquisadores observam que a rotina de criptografia do Rorschach indica "uma implementação altamente eficaz de agendamento de threads via portas de conclusão de I/O".
Para descobrir quão rápida é a criptografia do Rorschach, a Check Point configurou um teste com 220.000 arquivos em uma máquina com CPU de 6 núcleos.
Levou 4,5 minutos para o Rorschach criptografar os dados, enquanto o LockBit v3.0, considerado a cepa de ransomware mais rápida, terminou em 7 minutos.
Após bloquear o sistema, o malware deixa uma nota de resgate semelhante ao formato usado pelo ransomware Yanlowang.
Segundo os pesquisadores, uma versão anterior do malware usava uma nota de resgate semelhante ao que o DarkSide usava.
A Check Point diz que essa semelhança é provavelmente o que fez com que outros pesquisadores confundissem uma versão diferente do Rorschach com o DarkSide, uma operação que mudou de marca para BlackMatter em 2021 e desapareceu no mesmo ano.
Os membros do BlackMatter alteraram a operação de ransomware ALPHV/BlackCat, que foi lançada em novembro de 2021.
A Check Point avalia que o Rorschach implementou os recursos melhores de algumas das principais cepas de ransomware vazadas online (Babuk, LockBit v2.0, DarkSide).
Junto com as capacidades de auto-propagação, o malware "eleva o nível dos ataques de ransomware".
No momento, os operadores do ransomware Rorschach permanecem desconhecidos e não há marca registrada, algo raramente visto na cena do ransomware.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...