Casa > Cyber ​​Notizie > Rorschach: Emerge un nuovo ransomware sofisticato
CYBER NEWS

Rorschach: Emerge un nuovo ransomware sofisticato

I ricercatori della sicurezza hanno scoperto un nuovo, ransomware altamente sofisticato.

Checkpoint di ricerca (RCP) e il team di risposta agli incidenti di Check Point (CPIRT) identificato un ceppo di ransomware precedentemente sconosciuto, soprannominato Rorschach, che è stato schierato contro una società con sede negli Stati Uniti. Rorschach non presenta somiglianze con altri conosciuti famiglie ransomware, e manca anche di qualsiasi marchio tipicamente visto negli attacchi ransomware.

È anche interessante notare che il ransomware è parzialmente autonomo, svolgere compiti che di solito vengono eseguiti manualmente, come la creazione di un criterio di gruppo di dominio (Oggetto Criteri di gruppo). Questa funzionalità è stata precedentemente collegata a LockBit 2.0.

Emerge il nuovo ransomware sofisticato di Rorschach

Rorschach ransomware: Quello che si sa finora?

Rorschach è altamente personalizzabile e contiene caratteristiche tecnologicamente straordinarie, come l'uso di chiamate di sistema dirette, che si vede raramente nel ransomware. Inoltre, grazie alle sue modalità di attuazione, il ransomware è uno dei più rapidi osservati in termini di velocità di crittografia.

Distribuzione

Il ransomware è stato distribuito tramite caricamento laterale DLL di uno strumento di servizio dump Cortex XDR, un prodotto di sicurezza commerciale firmato, che è un metodo di caricamento unico per il ransomware. Palo Alto Networks è stata avvisata della vulnerabilità.




Esecuzione

Un'analisi del ransomware ha rivelato alcune caratteristiche uniche. Ha una natura parzialmente autonoma, diffondendosi quando eseguito su un controller di dominio (DC) e cancellazione dei registri degli eventi delle macchine interessate.

Rorschach ransomware è anche altamente flessibile, in esecuzione su una configurazione integrata e una varietà di argomenti facoltativi per adattare il suo comportamento alle esigenze dell'utente. Inoltre, il malware è una combinazione di alcune delle più famose famiglie di ransomware, inclusi Yanluowang e DarkSide, con alcune funzionalità distinte, e.g. l'uso di chiamate di sistema dirette.

La richiesta di riscatto inviata alla vittima aveva uno stile simile alle note di ransomware di Yanluowang, ma alcuni l'hanno erroneamente identificato come Lato oscuro. Questa confusione è ciò che ha portato il ransomware a prendere il nome dal famoso test psicologico: Rorschach.

Autopropagazione

Rorschach crea processi in modo non convenzionale, avviandoli in modalità SOSPENDI e fornendo argomentazioni errate per rafforzare le attività di analisi e correzione. Questa falsa argomentazione, composto da una sequenza di numeri 1 corrispondente alla lunghezza dell'argomento effettivo, viene riscritto in memoria e sostituito con quello reale, producendo un'operazione distinta, secondo il rapporto di Check Point Research.

Il ransomware ha la capacità di diffondersi su altre macchine all'interno di un controller di dominio Windows quando viene eseguito. Questa distribuzione dell'oggetto Criteri di gruppo viene eseguita in modo diverso rispetto a quella vista in LockBit 2.0, ed è descritto più dettagliatamente di seguito.

Protezione ed evasione anti-analisi

Rorschach mostra sofisticate tattiche di evasione della sicurezza che rendono difficile l'analisi. Il caricatore/iniettore iniziale winutils.dll è protetto da un pacchetto in stile UPX che richiede il disimballaggio manuale per l'accesso. Al disimballaggio, config.ini viene caricato e decifrato, che contiene la logica del ransomware. Dopo essere stato iniettato in notepad.exe, il codice è ulteriormente salvaguardato da VMProtect e dalla virtualizzazione, che complica l'analisi. Per eludere i meccanismi di difesa, Rorschach utilizza l'istruzione "syscall" per effettuare chiamate di sistema dirette, che è raro nel ransomware.




Rorschach ransomware: Conclusione

Per rimanere nascosti ai software di sicurezza e ai ricercatori, i creatori di Rorschach hanno implementato tecniche innovative di anti-analisi e di evasione della difesa. Inoltre, il ransomware ha adottato alcune delle funzionalità più efficaci di altri popolari ransomware che sono stati rilasciati online e le ha combinate. Non solo Rorschach può auto-replicarsi, ma questi sviluppi hanno aumentato la potenza degli attacchi ransomware. Finora, le identità degli operatori e degli sviluppatori di Rorschach rimangono sconosciute, poiché non hanno utilizzato il marchio, che è considerato raro nelle campagne ransomware, I ricercatori di Check Point hanno notato.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo