Beveiligingsonderzoekers hebben een nieuwe ontdekt, zeer geavanceerde ransomware.
Check Point-onderzoek (reanimatie) en Check Point Incident Response Team (CPIRT) identificeerde een voorheen onbekende ransomware-stam, genaamd Rorschach, dat werd ingezet tegen een in de VS gevestigd bedrijf. Rorschach vertoont geen enkele gelijkenis met andere bekende ransomware gezinnen, en mist ook elke branding die typisch is voor ransomware-aanvallen.
Het is ook opmerkelijk dat de ransomware gedeeltelijk autonoom is, taken uitvoeren die normaal gesproken handmatig worden gedaan, zoals het maken van een domeingroepsbeleid (GPO). Aan deze functionaliteit is eerder gekoppeld LockBit 2.0.
Rorschach-ransomware: Wat is er bekend So Far?
Rorschach is zeer aanpasbaar en bevat technologisch buitengewone functies, zoals het gebruik van directe syscalls, die zelden wordt gezien in ransomware. Bovendien, vanwege de uitvoeringsmethoden, de ransomware is een van de snelst waargenomen in termen van coderingssnelheid.
Distributie
De ransomware werd ingezet via DLL side-loading van een Cortex XDR Dump Service Tool, een ondertekend commercieel beveiligingsproduct, wat een unieke laadmethode is voor ransomware. Palo Alto Networks werd gewaarschuwd over de kwetsbaarheid.
Executie
Een analyse van de ransomware bracht enkele unieke kenmerken aan het licht. Het heeft een deels autonoom karakter, zichzelf verspreiden wanneer uitgevoerd op een domeincontroller (DC) en het wissen van gebeurtenislogboeken van getroffen machines.
Rorschach-ransomware is ook zeer flexibel, draait op een ingebouwde configuratie en een verscheidenheid aan optionele argumenten om zijn gedrag aan te passen aan de behoeften van de gebruiker. Bovendien, de malware is een combinatie van enkele van de meest beruchte ransomwarefamilies, waaronder Yanluowang en DarkSide, met een aantal aparte functionaliteiten, b.v.. het gebruik van directe syscalls.
Het losgeldbriefje dat naar het slachtoffer werd gestuurd, had dezelfde stijl als de Yanluowang-ransomware-notities, maar sommigen identificeerden het ten onrechte als Duistere kant. Deze verwarring heeft ertoe geleid dat de ransomware is vernoemd naar de beroemde psychologische test – Rorschach.
Zelfvoortplanting
Rorschach creëert processen op een onconventionele manier, ze in de SUSPEND-modus zetten en onjuiste argumenten geven om analyse- en herstelactiviteiten te versterken. Dit valse argument, opgebouwd uit een reeks van het nummer 1 overeenkomend met de lengte van het eigenlijke argument, wordt herschreven in het geheugen en vervangen door de echte, een aparte operatie opleveren, volgens het rapport van Check Point Research.
De ransomware heeft de mogelijkheid om zichzelf te verspreiden naar andere machines binnen een Windows Domain Controller wanneer deze wordt uitgevoerd. Deze GPO-implementatie wordt anders gedaan dan die in LockBit 2.0, en wordt hieronder in meer detail beschreven.
Anti-analyse bescherming en ontduiking
Rorschach vertoont geavanceerde beveiligingsontduikingstactieken die het moeilijk maken om te analyseren. De initiële loader/injector winutils.dll wordt beveiligd door een UPX-achtige verpakking die handmatig moet worden uitgepakt om toegang te krijgen. Bij het uitpakken, config.ini wordt geladen en gedecodeerd, die de ransomware-logica bevat. Na te zijn geïnjecteerd in notepad.exe, de code wordt verder beveiligd door VMProtect en virtualisatie, wat de analyse bemoeilijkt. Om verdedigingsmechanismen te omzeilen, Rorschach gebruikt de instructie "syscall" om directe systeemaanroepen te doen, wat ongebruikelijk is bij ransomware.
Rorschach-ransomware: Conclusie
Om verborgen te blijven voor beveiligingssoftware en onderzoekers, de makers van Rorschach hebben innovatieve anti-analyse- en verdedigingsontwijkingstechnieken geïmplementeerd. Bovendien, de ransomware heeft enkele van de meest effectieve functies overgenomen van andere populaire ransomwares die online zijn uitgebracht en deze gecombineerd. Rorschach kan niet alleen zichzelf repliceren, maar deze ontwikkelingen hebben de kracht van ransomware-aanvallen vergroot. Zover, de identiteit van de operators en ontwikkelaars van Rorschach blijft onbekend, omdat ze geen branding hebben toegepast, wat als zeldzaam wordt beschouwd in ransomware-campagnes, Onderzoekers van Check Point merkten op.