Accueil > Nouvelles Cyber > Rorschach: Un nouveau ransomware sophistiqué fait son apparition
CYBER NOUVELLES

Rorschach: Un nouveau ransomware sophistiqué fait son apparition

Des chercheurs en sécurité ont découvert un nouveau, rançongiciel hautement sophistiqué.

Recherche de points de contrôle (RCR) et l'équipe de réponse aux incidents de Check Point (CPIRT) identifié une souche de rançongiciel jusque-là inconnue, surnommé Rorschach, qui a été déployé contre une société basée aux États-Unis. Rorschach ne présente aucune similitude avec d'autres connus familles ransomware, et n'a pas non plus de marque généralement vue dans les attaques de ransomware.

Il est également à noter que le ransomware est partiellement autonome, effectuer des tâches qui sont généralement effectuées manuellement, comme la création d'une stratégie de groupe de domaine (GPO). Cette fonctionnalité était auparavant liée à Verrouillage 2.0.

Rorschach Un nouveau rançongiciel sophistiqué émerge

Rançongiciel Rorschach: Ce qui est connu So Far?

Rorschach est hautement personnalisable et contient des fonctionnalités technologiquement extraordinaires, comme l'utilisation d'appels système directs, ce qui est rarement vu dans les ransomwares. En outre, en raison de ses méthodes de mise en œuvre, le ransomware est l'un des plus rapides observés en termes de vitesse de cryptage.

Distribution

Le ransomware a été déployé via le chargement latéral DLL d'un outil de service de vidage Cortex XDR, un produit de sécurité commercial signé, qui est une méthode de chargement unique pour les ransomwares. Palo Alto Networks a été alerté de la vulnérabilité.




Exécution

Une analyse du rançongiciel a révélé des caractéristiques uniques. Il a un caractère partiellement autonome, se répand lorsqu'il est exécuté sur un contrôleur de domaine (DC) et effacement des journaux d'événements des machines affectées.

Le rançongiciel Rorschach est également très flexible, s'exécutant sur une configuration intégrée et une variété d'arguments facultatifs pour ajuster son comportement aux besoins de l'utilisateur. En outre, le malware est une combinaison de certaines des familles de ransomwares les plus notoires, y compris Yanluowang et DarkSide, avec quelques fonctionnalités distinctes, e.g. l'utilisation d'appels système directs.

La note de rançon envoyée à la victime avait le même style que les notes de rançongiciel Yanluowang, mais certains l'ont identifié à tort comme Côté obscur. Cette confusion est à l'origine du nom du rançongiciel d'après le célèbre test psychologique - Rorschach.

Auto-propagation

Rorschach crée des processus de manière non conventionnelle, les lancer en mode SUSPEND et fournir des arguments incorrects pour renforcer les activités d'analyse et de remédiation. Ce faux argument, composé d'une suite de nombres 1 correspondant à la longueur de l'argument réel, est réécrit en mémoire et remplacé par le vrai, produire une opération distincte, selon le rapport de Check Point Research.

Le ransomware a la capacité de se propager à d'autres machines au sein d'un contrôleur de domaine Windows lorsqu'il est exécuté. Ce déploiement de GPO se fait différemment de celui vu dans LockBit 2.0, et est décrit plus en détail ci-dessous.

Protection anti-analyse et évasion

Rorschach présente des tactiques sophistiquées d'évasion de la sécurité qui le rendent difficile à analyser. Le chargeur/injecteur initial winutils.dll est protégé par un emballage de style UPX qui nécessite un déballage manuel pour y accéder.. Au déballage, config.ini est chargé et déchiffré, qui contient la logique du rançongiciel. Après avoir été injecté dans notepad.exe, le code est en outre protégé par VMProtect et la virtualisation, ce qui complique l'analyse. Pour échapper aux mécanismes de défense, Rorschach utilise l'instruction "syscall" pour effectuer des appels système directs, ce qui est rare dans les ransomwares.




Rançongiciel Rorschach: Conclusion

Pour rester caché des logiciels de sécurité et des chercheurs, les créateurs de Rorschach ont mis en œuvre des techniques innovantes d'anti-analyse et d'évasion de la défense. En outre, le ransomware a adopté certaines des fonctionnalités les plus efficaces d'autres ransomwares populaires qui ont été publiés en ligne et les ont combinés. Non seulement Rorschach peut s'auto-répliquer, mais ces développements ont augmenté la puissance des attaques de ransomwares. Jusqu'ici, l'identité des opérateurs et développeurs de Rorschach reste inconnue, car ils n'ont pas utilisé l'image de marque, ce qui est considéré comme rare dans les campagnes de ransomware, Les chercheurs de Check Point ont noté.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord