Rorschach: Ny sofistikeret ransomware dukker op

Sikkerhedsforskere opdagede en ny, meget sofistikeret ransomware.

Check Point Research (CPR) og Check Point Incident Response Team (CPIRT) identificeret en tidligere ukendt ransomware-stamme, døbt Rorschach, der blev indsat mod et amerikansk-baseret firma. Rorschach har ingen ligheder med andre kendte ransomware familier, og mangler også enhver branding, der typisk ses i ransomware-angreb.

Det er også bemærkelsesværdigt, at ransomwaren er delvist autonom, udføre opgaver, der normalt udføres manuelt, såsom oprettelse af en domænegruppepolitik (GPO). Denne funktionalitet er tidligere blevet knyttet til LockBit 2.0.

Rorschach Ransomware: Hvad der er kendt So Far?

Rorschach er meget tilpasselig og indeholder teknologisk ekstraordinære funktioner, som brugen af direkte syscalls, som sjældent ses i ransomware. Desuden, på grund af dets implementeringsmetoder, ransomware er en af de hurtigste observerede med hensyn til krypteringshastighed.

Distribution

Ransomwaren blev implementeret gennem DLL-sideindlæsning af et Cortex XDR Dump Service Tool, et signeret kommercielt sikkerhedsprodukt, som er en unik indlæsningsmetode til ransomware. Palo Alto Networks blev advaret om sårbarheden.

Udførelse

En analyse af ransomware afslørede nogle unikke funktioner. Den har en delvis selvstændig karakter, spreder sig selv, når det udføres på en domænecontroller (DC) og sletning af hændelseslogfiler for berørte maskiner.

Rorschach ransomware er også meget fleksibel, kører på en indbygget konfiguration og en række valgfrie argumenter for at tilpasse dens adfærd til brugerens behov. Endvidere, malwaren er en kombination af nogle af de mest berygtede ransomware-familier, herunder Yanluowang og DarkSide, med nogle særlige funktioner, f.eks. brugen af direkte syscalls.

Løsesedlen, der blev sendt ud til offeret, var stilet på samme måde som Yanluowang-ransomware-sedlen, men nogle identificerede det fejlagtigt som Mørk side. Denne forvirring er det, der førte til, at ransomware blev opkaldt efter den berømte psykologiske test - Rorschach.

Selvudbredelse

Rorschach skaber processer på en utraditionel måde, initiere dem i SUSPEND-tilstand og give forkerte argumenter for at styrke analyse- og afhjælpningsaktiviteter. Dette falske argument, består af en rækkefølge af tallet 1 svarende til længden af det faktiske argument, er genskrevet i hukommelsen og erstattet med den rigtige, producerer en særskilt operation, ifølge Check Point Researchs rapport.

Ransomwaren har evnen til at sprede sig selv til andre maskiner inden for en Windows Domain Controller, når den udføres. Denne GPO-implementering udføres anderledes end den, der ses i LockBit 2.0, og er beskrevet mere detaljeret nedenfor.

Anti-analyse beskyttelse og unddragelse

Rorschach udviser sofistikerede sikkerhedsunddragelsestaktikker, der gør det svært at analysere. Den indledende indlæser/injektor winutils.dll er beskyttet af en UPX-lignende pakning, der kræver manuel udpakning for at få adgang. Ved udpakning, config.ini indlæses og dekrypteres, som holder ransomware-logikken. Efter at være blevet injiceret i notepad.exe, koden er yderligere sikret af VMProtect og virtualisering, hvilket komplicerer analysen. For at undgå forsvarsmekanismer, Rorschach bruger "syscall"-instruktionen til at foretage direkte systemopkald, hvilket er usædvanligt i ransomware.

Rorschach Ransomware: Konklusion

At holde sig skjult for sikkerhedssoftware og forskere, skaberne af Rorschach implementerede innovative antianalyse- og forsvarunddragelsesteknikker. Endvidere, ransomwaren har overtaget nogle af de mest effektive funktioner fra andre populære ransomwares, der er blevet frigivet online og kombineret dem. Ikke kun kan Rorschach selvreplikere, men denne udvikling har øget styrken af ransomware-angreb. Hidtil, identiteten på operatørerne og udviklerne af Rorschach forbliver ukendte, da de ikke har brugt branding, hvilket anses for sjældent i ransomware-kampagner, Check Point-forskere bemærkede.