>> サイバーニュース > Rorschach: 新しい洗練されたランサムウェアの出現
サイバーニュース

ロールシャッハ: 新しい洗練されたランサムウェアの出現

セキュリティ研究者は新しいを発見しました, 高度に洗練されたランサムウェア.

チェックポイント調査 (CPR) およびチェック・ポイントのインシデント対応チーム (CPIRT) 未知のランサムウェア株を特定, ロールシャッハと呼ばれる, 米国を拠点とする企業に対して展開された. ロールシャッハは、他の知られているものと類似点を持たない ランサムウェアファミリー, また、ランサムウェア攻撃で一般的に見られるブランディングもありません.

ランサムウェアが部分的に自律的であることも注目に値します, 通常手動で行われるタスクの実行, ドメイン グループ ポリシーの作成など (GPO). この機能は以前にリンクされていました LockBit 2.0.

ロールシャッハの新しい洗練されたランサムウェアが登場

ロールシャッハ ランサムウェア: これまでに知られていること?

ロールシャッハは高度にカスタマイズ可能で、技術的に優れた機能を備えています, 直接システムコールの使用のように, ランサムウェアではめったに見られない. さらに, その実装方法による, ランサムウェアは、暗号化速度の点で最も速いものの 1 つです。.

分布

ランサムウェアは、Cortex XDR Dump Service Tool の DLL サイドローディングを通じて展開されました。, 署名された商用セキュリティ製品, これはランサムウェアの独自の読み込み方法です. Palo Alto Networks は脆弱性について警告を受けました.




実行

ランサムウェアの分析により、いくつかのユニークな機能が明らかになりました. それは部分的に自律的な性質を持っています, ドメイン コントローラで実行されると自身を拡散する (DC) および影響を受けるマシンのイベント ログを消去する.

ロールシャッハ ランサムウェアも柔軟性が高い, ビルトイン構成とさまざまなオプションの引数で実行され、ユーザーのニーズに合わせて動作を調整します. さらに, このマルウェアは、最も悪名高いランサムウェア ファミリの組み合わせです。, Yanluowang と DarkSide を含む, いくつかの異なる機能を備えた, 例えば. 直接システムコールの使用.

被害者に送信された身代金メモは、Yanluowang ランサムウェア メモと同様のスタイルでした, しかし、一部の人は誤ってそれを次のように識別しました 暗黒面. この混乱が、ランサムウェアが有名な心理テストであるロールシャッハにちなんで名付けられた理由です。.

自己増殖

ロールシャッハは型にはまらない方法でプロセスを作成します, それらを SUSPEND モードで開始し、分析と修復活動を強化するために誤った引数を提供する. この間違った議論, 一連の数字からなる 1 実引数の長さに対応, メモリに書き直され、実際のものに置き換えられます, 別個の操作を生成する, Check Point Research のレポートによると.

ランサムウェアには、実行時に Windows ドメイン コントローラ内の他のマシンに拡散する機能があります。. この GPO 展開は、LockBit で見られるものとは異なる方法で行われます 2.0, 以下で詳しく説明します.

分析防止保護と回避

ロールシャッハは、分析を困難にする高度なセキュリティ回避戦術を示しています. 初期ローダー/インジェクター winutils.dll は、UPX スタイルのパッキングによって保護されており、アクセスするには手動でアンパックする必要があります. 開梱時, config.ini がロードされ、復号化されます, ランサムウェアのロジックを保持する. notepad.exeに挿入された後, コードは、VMProtect と仮想化によってさらに保護されます。, 分析を複雑にする. 防御機構を回避するには, ロールシャッハは「syscall」命令を使用して直接システムコールを作成します, これはランサムウェアでは珍しい.




ロールシャッハ ランサムウェア: 結論

セキュリティ ソフトウェアや研究者から隠れるため, ロールシャッハの作成者は、革新的な分析防止技術と防御回避技術を実装しました. さらに, このランサムウェアは、オンラインでリリースされた他の人気のあるランサムウェアから最も効果的な機能のいくつかを採用し、それらを組み合わせています。. ロールシャッハは自己複製できるだけでなく、, しかし、これらの開発により、ランサムウェア攻撃の有効性が高まっています. ここのところ, ロールシャッハのオペレーターと開発者の身元は不明のままです, ブランディングを採用していないため, これは、ランサムウェア キャンペーンではまれであると考えられています, チェックポイントの研究者が指摘.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します