Sicherheitsforscher entdeckten eine neue, hochentwickelte Ransomware.
Checkpoint-Forschung (HLW) und das Check Point Incident Response Team (CPIRT) einen bisher unbekannten Ransomware-Stamm identifiziert, Rorschach genannt, die gegen ein in den USA ansässiges Unternehmen eingesetzt wurde. Rorschach weist keine Ähnlichkeiten mit anderen bekannten auf Ransom Familien, und es fehlt auch das Branding, das normalerweise bei Ransomware-Angriffen zu sehen ist.
Bemerkenswert ist auch, dass die Ransomware teilweise autonom ist, Aufgaben ausführen, die normalerweise manuell erledigt werden, B. das Erstellen einer Domänengruppenrichtlinie (GPO). Diese Funktionalität wurde zuvor verlinkt LockBit 2.0.
Rorschach-Ransomware: Was ist bis jetzt bekannt?
Rorschach ist hochgradig anpassbar und enthält technologisch außergewöhnliche Funktionen, wie die Verwendung von direkten Systemaufrufen, was bei Ransomware selten vorkommt. Zudem, aufgrund seiner Implementierungsmethoden, Die Ransomware ist eine der am schnellsten beobachteten in Bezug auf die Verschlüsselungsgeschwindigkeit.
Vertrieb
Die Ransomware wurde durch DLL-Seitenladen eines Cortex XDR Dump Service Tools bereitgestellt, ein signiertes kommerzielles Sicherheitsprodukt, Dies ist eine einzigartige Lademethode für Ransomware. Palo Alto Networks wurde über die Schwachstelle gewarnt.
Ausführung
Eine Analyse der Ransomware ergab einige einzigartige Merkmale. Es hat einen teilweise autonomen Charakter, verbreitet sich selbst, wenn es auf einem Domänencontroller ausgeführt wird (DC) und Löschen von Ereignisprotokollen betroffener Maschinen.
Rorschach Ransomware ist auch sehr flexibel, läuft auf einer integrierten Konfiguration und einer Vielzahl von optionalen Argumenten, um sein Verhalten an die Bedürfnisse des Benutzers anzupassen. Weiter, Die Malware ist eine Kombination aus einigen der berüchtigtsten Ransomware-Familien, einschließlich Yanluowang und DarkSide, mit einigen unterschiedlichen Funktionen, z.B.. die Verwendung von direkten Systemaufrufen.
Die an das Opfer gesendete Lösegeldforderung war ähnlich gestaltet wie die Yanluowang-Ransomware-Notizen, aber einige identifizierten es fälschlicherweise als Dunkle Seite. Diese Verwirrung führte dazu, dass die Ransomware nach dem berühmten psychologischen Test – Rorschach – benannt wurde.
Selbstausbreitung
Rorschach gestaltet Prozesse unkonventionell, sie in den SUSPEND-Modus zu versetzen und falsche Argumente anzugeben, um die Analyse- und Behebungsaktivitäten zu verstärken. Dieses falsche Argument, besteht aus einer Folge der Nummer 1 entsprechend der Länge des eigentlichen Arguments, wird neu in den Speicher geschrieben und durch den echten ersetzt, eine eigenständige Operation hervorbringen, gemäß dem Bericht von Check Point Research.
Die Ransomware kann sich bei der Ausführung auf andere Computer innerhalb eines Windows-Domänencontrollers ausbreiten. Diese GPO-Bereitstellung erfolgt anders als in LockBit 2.0, und wird weiter unten ausführlicher beschrieben.
Anti-Analyse-Schutz und Umgehung
Rorschach weist ausgeklügelte Taktiken zur Sicherheitsumgehung auf, die eine Analyse erschweren. Der anfängliche Loader/Injector winutils.dll wird durch eine UPX-artige Verpackung geschützt, die für den Zugriff manuell entpackt werden muss. Beim Auspacken, config.ini wird geladen und entschlüsselt, die die Ransomware-Logik enthält. Nach dem Einfügen in notepad.exe, der Code wird zusätzlich durch VMProtect und Virtualisierung geschützt, was die Analyse erschwert. Um Abwehrmechanismen zu umgehen, Rorschach verwendet die Anweisung „syscall“, um direkte Systemaufrufe durchzuführen, was bei Ransomware ungewöhnlich ist.
Rorschach-Ransomware: Abschluss
Um vor Sicherheitssoftware und Forschern verborgen zu bleiben, Die Macher von Rorschach implementierten innovative Anti-Analyse- und Verteidigungsumgehungstechniken. Weiter, Die Ransomware hat einige der effektivsten Funktionen anderer beliebter Ransomwares, die online veröffentlicht wurden, übernommen und kombiniert. Rorschach kann sich nicht nur selbst replizieren, Aber diese Entwicklungen haben die Potenz von Ransomware-Angriffen erhöht. Bisher, die Identität der Betreiber und Entwickler von Rorschach bleibt unbekannt, da sie kein Branding eingesetzt haben, was bei Ransomware-Kampagnen als selten gilt, Forscher von Check Point stellten fest.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: