Casa > Ciber Noticias > Rorschach: Surge un nuevo ransomware sofisticado
CYBER NOTICIAS

Rorschach: Surge un nuevo ransomware sofisticado

por   |  Last Update:  |  0 Comentarios  

Investigadores de seguridad descubrieron un nuevo, ransomware altamente sofisticado.

Investigación de puntos de control (RCP) y el equipo de respuesta a incidentes de Check Point (CPIRT) identificó una cepa de ransomware previamente desconocida, apodado Rorschach, que se desplegó contra una empresa con sede en EE. UU.. Rorschach no tiene similitudes con otros conocidos familias ransomware, y también carece de la marca que normalmente se ve en los ataques de ransomware.

También cabe destacar que el ransomware es parcialmente autónomo, llevar a cabo tareas que generalmente se realizan manualmente, como la creación de una política de grupo de dominio (GPO). Esta funcionalidad se ha vinculado previamente a LockBit 2.0.

Rorschach surge un nuevo y sofisticado ransomware

Ransomware de Rorschach: Lo que se sabe hasta ahora?

Rorschach es altamente personalizable y contiene características tecnológicamente extraordinarias., como el uso de llamadas de sistema directas, que rara vez se ve en ransomware. Por otra parte, debido a sus métodos de implementación, el ransomware es uno de los más rápidos observados en términos de velocidad de cifrado.

Distribución

El ransomware se implementó a través de la carga lateral de DLL de una herramienta de servicio de volcado Cortex XDR, un producto de seguridad comercial firmado, que es un método de carga único para ransomware. Palo Alto Networks fue alertado sobre la vulnerabilidad.




Ejecución

Un análisis del ransomware reveló algunas características únicas. Tiene un carácter parcialmente autónomo., propagándose cuando se ejecuta en un controlador de dominio (corriente continua) y borrar los registros de eventos de las máquinas afectadas.

El ransomware Rorschach también es muy flexible, ejecutándose en una configuración integrada y una variedad de argumentos opcionales para ajustar su comportamiento a las necesidades del usuario. Además, el malware es una combinación de algunas de las familias de ransomware más notorias, incluyendo Yanluowang y DarkSide, con algunas funcionalidades distintas, por ejemplo. el uso de llamadas de sistema directas.

La nota de rescate enviada a la víctima tenía un estilo similar a las notas del ransomware Yanluowang., pero algunos lo identificaron erróneamente como Lado oscuro. Esta confusión es lo que llevó al ransomware a recibir el nombre de la famosa prueba psicológica: Rorschach..

Autopropagación

Rorschach crea procesos de una manera poco convencional, iniciarlos en modo SUSPEND y proporcionar argumentos incorrectos para fortalecer las actividades de análisis y remediación. Este falso argumento, formado por una secuencia del número 1 correspondiente a la longitud del argumento real, se reescribe en la memoria y se sustituye por el real, produciendo una operación distinta, según el informe de Check Point Research.

El ransomware tiene la capacidad de propagarse a otras máquinas dentro de un controlador de dominio de Windows cuando se ejecuta. Esta implementación de GPO se realiza de manera diferente a la que se ve en LockBit 2.0, y se describe con más detalle a continuación.

Protección y Evasión Anti-Análisis

Rorschach exhibe sofisticadas tácticas de evasión de seguridad que dificultan el análisis. El cargador/inyector inicial winutils.dll está protegido por un paquete de estilo UPX que necesita desempaquetado manual para acceder. Al desempacar, config.ini está cargado y descifrado, que contiene la lógica del ransomware. Después de ser inyectado en notepad.exe, el código está más protegido por VMProtect y virtualización, lo que complica el análisis. Para evadir los mecanismos de defensa., Rorschach usa la instrucción "syscall" para hacer llamadas directas al sistema, lo cual es poco común en ransomware.




Ransomware de Rorschach: Conclusión

Para permanecer oculto del software de seguridad y los investigadores, los creadores de Rorschach implementaron técnicas innovadoras de antianálisis y evasión de defensa. Además, el ransomware ha adoptado algunas de las características más efectivas de otros ransomware populares que se han lanzado en línea y las ha combinado. Rorschach no solo puede autorreplicarse, pero estos desarrollos han aumentado la potencia de los ataques de ransomware. Hasta aquí, las identidades de los operadores y desarrolladores de Rorschach siguen siendo desconocidas, ya que no han empleado la marca, que se considera raro en las campañas de ransomware, Los investigadores de Check Point señalaron.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Artículos Relacionados:
  1. .abcd Virus del archivo (LockBit ransomware) – Removerlo (actualización de marzo 2020) Este artículo ha sido creado con el fin de explicar mejor....
  2. Quitar LockBit 2.0 El ransomware LockBit 2.0 LockBit de ransomware 2.0 El ransomware es un virus informático...
  3. .Virus Waifu Archivos (Dharma ransomware) - Retirar + Restaurar archivos Este artículo ha sido escrito para explicar más sobre lo que....
  4. ¿Cuáles son los smartphones más seguros Precio Puntuación total OS VPN CIFRADO DE PISTA DE BLOQUE DE HUELLAS 1...
  5. Corregir errores de DLL de archivos causado por el malware [2022] ¿Qué es DLL?? Un archivo DLL, o un archivo de biblioteca de vínculos dinámicos,...
  6. LockBit Ransomware agrega DDoS y triple extorsión a su operación El grupo de ransomware LockBit ahora está trabajando para mejorar su....
  7. .Virus lockbit (.lockbit ransomware) La eliminación y recuperación El virus .lockbit es un ransomware que actualmente está configurado...
  8. LockBit Ransomware llega a la empresa de consultoría tecnológica global Accenture Accenture es la última víctima de la banda de ransomware LockBit....

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo