Investigadores de seguridad descubrieron un nuevo, ransomware altamente sofisticado.
Investigación de puntos de control (RCP) y el equipo de respuesta a incidentes de Check Point (CPIRT) identificó una cepa de ransomware previamente desconocida, apodado Rorschach, que se desplegó contra una empresa con sede en EE. UU.. Rorschach no tiene similitudes con otros conocidos familias ransomware, y también carece de la marca que normalmente se ve en los ataques de ransomware.
También cabe destacar que el ransomware es parcialmente autónomo, llevar a cabo tareas que generalmente se realizan manualmente, como la creación de una política de grupo de dominio (GPO). Esta funcionalidad se ha vinculado previamente a LockBit 2.0.
Ransomware de Rorschach: Lo que se sabe hasta ahora?
Rorschach es altamente personalizable y contiene características tecnológicamente extraordinarias., como el uso de llamadas de sistema directas, que rara vez se ve en ransomware. Por otra parte, debido a sus métodos de implementación, el ransomware es uno de los más rápidos observados en términos de velocidad de cifrado.
Distribución
El ransomware se implementó a través de la carga lateral de DLL de una herramienta de servicio de volcado Cortex XDR, un producto de seguridad comercial firmado, que es un método de carga único para ransomware. Palo Alto Networks fue alertado sobre la vulnerabilidad.
Ejecución
Un análisis del ransomware reveló algunas características únicas. Tiene un carácter parcialmente autónomo., propagándose cuando se ejecuta en un controlador de dominio (corriente continua) y borrar los registros de eventos de las máquinas afectadas.
El ransomware Rorschach también es muy flexible, ejecutándose en una configuración integrada y una variedad de argumentos opcionales para ajustar su comportamiento a las necesidades del usuario. Además, el malware es una combinación de algunas de las familias de ransomware más notorias, incluyendo Yanluowang y DarkSide, con algunas funcionalidades distintas, por ejemplo. el uso de llamadas de sistema directas.
La nota de rescate enviada a la víctima tenía un estilo similar a las notas del ransomware Yanluowang., pero algunos lo identificaron erróneamente como Lado oscuro. Esta confusión es lo que llevó al ransomware a recibir el nombre de la famosa prueba psicológica: Rorschach..
Autopropagación
Rorschach crea procesos de una manera poco convencional, iniciarlos en modo SUSPEND y proporcionar argumentos incorrectos para fortalecer las actividades de análisis y remediación. Este falso argumento, formado por una secuencia del número 1 correspondiente a la longitud del argumento real, se reescribe en la memoria y se sustituye por el real, produciendo una operación distinta, según el informe de Check Point Research.
El ransomware tiene la capacidad de propagarse a otras máquinas dentro de un controlador de dominio de Windows cuando se ejecuta. Esta implementación de GPO se realiza de manera diferente a la que se ve en LockBit 2.0, y se describe con más detalle a continuación.
Protección y Evasión Anti-Análisis
Rorschach exhibe sofisticadas tácticas de evasión de seguridad que dificultan el análisis. El cargador/inyector inicial winutils.dll está protegido por un paquete de estilo UPX que necesita desempaquetado manual para acceder. Al desempacar, config.ini está cargado y descifrado, que contiene la lógica del ransomware. Después de ser inyectado en notepad.exe, el código está más protegido por VMProtect y virtualización, lo que complica el análisis. Para evadir los mecanismos de defensa., Rorschach usa la instrucción "syscall" para hacer llamadas directas al sistema, lo cual es poco común en ransomware.
Ransomware de Rorschach: Conclusión
Para permanecer oculto del software de seguridad y los investigadores, los creadores de Rorschach implementaron técnicas innovadoras de antianálisis y evasión de defensa. Además, el ransomware ha adoptado algunas de las características más efectivas de otros ransomware populares que se han lanzado en línea y las ha combinado. Rorschach no solo puede autorreplicarse, pero estos desarrollos han aumentado la potencia de los ataques de ransomware. Hasta aquí, las identidades de los operadores y desarrolladores de Rorschach siguen siendo desconocidas, ya que no han empleado la marca, que se considera raro en las campañas de ransomware, Los investigadores de Check Point señalaron.