Casa > cibernético Notícias > Rorschach: Novo Ransomware Sofisticado Surge
CYBER NEWS

Rorschach: Novo Ransomware Sofisticado Surge

por   |  Última atualização:  |  0 Comentários  

Pesquisadores de segurança descobriram uma nova, ransomware altamente sofisticado.

Pesquisa de ponto de verificação (RCP) e equipe de resposta a incidentes da Check Point (CPIRT) identificou uma cepa de ransomware anteriormente desconhecida, apelidado de Rorschach, que foi implantado contra uma empresa com sede nos EUA. O Rorschach não tem nenhuma semelhança com outros conhecidos famílias ransomware, e também carece de qualquer marca normalmente vista em ataques de ransomware.

Também é digno de nota que o ransomware é parcialmente autônomo, realizar tarefas que geralmente são feitas manualmente, como criar uma política de grupo de domínio (GPO). Essa funcionalidade foi vinculada anteriormente a LockBit 2.0.

Rorschach surge um novo Ransomware sofisticado

Rorschach Ransomware: O que se sabe até agora?

Rorschach é altamente personalizável e contém recursos tecnologicamente extraordinários, como o uso de syscalls diretas, que raramente é visto em ransomware. Além disso, devido aos seus métodos de implementação, o ransomware é um dos mais rápidos observados em termos de velocidade de criptografia.

Distribuição

O ransomware foi implantado por meio de carregamento lateral de DLL de uma ferramenta de serviço de despejo Cortex XDR, um produto de segurança comercial assinado, que é um método de carregamento exclusivo para ransomware. A Palo Alto Networks foi alertada sobre a vulnerabilidade.




Execução

Uma análise do ransomware revelou alguns recursos exclusivos. Tem uma natureza parcialmente autônoma, espalhando-se quando executado em um controlador de domínio (DC) e apagando logs de eventos das máquinas afetadas.

Rorschach ransomware também é altamente flexível, executando em uma configuração interna e uma variedade de argumentos opcionais para ajustar seu comportamento às necessidades do usuário. além disso, o malware é uma combinação de algumas das famílias de ransomware mais notórias, incluindo Yanluowang e DarkSide, com algumas funcionalidades distintas, por exemplo. o uso de syscalls diretas.

A nota de resgate enviada à vítima foi estilizada de forma semelhante às notas do ransomware Yanluowang, mas alguns o identificaram erroneamente como Lado escuro. Essa confusão é o que levou o ransomware a receber o nome do famoso teste psicológico – Rorschach.

Autopropagação

Rorschach cria processos de maneira não convencional, iniciando-os no modo SUSPEND e fornecendo argumentos incorretos para fortalecer as atividades de análise e correção. Este falso argumento, composta por uma sequência do número 1 correspondente ao comprimento do argumento real, é reescrito na memória e substituído pelo real, produzindo uma operação distinta, de acordo com o relatório da Check Point Research.

O ransomware tem a capacidade de se espalhar para outras máquinas dentro de um controlador de domínio do Windows quando executado. Essa implantação de GPO é feita de maneira diferente daquela vista no LockBit 2.0, e é descrito com mais detalhes abaixo.

Proteção anti-análise e evasão

Rorschach exibe táticas sofisticadas de evasão de segurança que dificultam a análise. O carregador/injetor inicial winutils.dll é protegido por uma embalagem estilo UPX que precisa ser descompactada manualmente para acessar. Ao desempacotar, config.ini é carregado e descriptografado, que contém a lógica do ransomware. Depois de ser injetado no notepad.exe, o código é ainda mais protegido por VMProtect e virtualização, o que complica a análise. Para fugir dos mecanismos de defesa, Rorschach usa a instrução “syscall” para fazer chamadas diretas ao sistema, o que é incomum em ransomware.




Rorschach Ransomware: Conclusão

Para ficar escondido de software de segurança e pesquisadores, os criadores do Rorschach implementaram técnicas inovadoras de anti-análise e evasão de defesa. além disso, o ransomware adotou alguns dos recursos mais eficazes de outros ransomwares populares que foram lançados online e os combinou. Não só o Rorschach pode se autorreplicar, mas esses desenvolvimentos aumentaram a potência dos ataques de ransomware. Tão longe, as identidades dos operadores e desenvolvedores do Rorschach permanecem desconhecidas, como eles não empregaram branding, que é considerado raro em campanhas de ransomware, Pesquisadores da Check Point observaram.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Postagens relacionadas:
  1. LockBit 3.0 Guia de vírus: Remoção, descriptografia, e dicas de segurança Na sociedade interconectada de hoje, the specter of cybersecurity threats looms...
  2. .Arquivo de vírus abcd (LockBit Ransomware) – Remova (atualização de março 2020) Este artigo foi criado para melhor explicar...
  3. Remover LockBit 2.0 ransomware LockBit 2.0 Ransomware LockBit 2.0 Ransomware é um vírus de computador...
  4. Operação Cronos: o fim do LockBit Ransomware? Agências de aplicação da lei de 11 countries have joined forces to...
  5. LockBit Ransomware adiciona DDoS, Extorsão tripla à sua operação O grupo de ransomware LockBit agora está trabalhando para melhorar sua...
  6. locker_Apple_M1_64 Remoção do ransomware (Vírus LockBit Mac) O que é locker_Apple_M1_64 (Vírus de arquivo LockBit Mac)? Security researchers detected...
  7. .lockbit vírus (.lockbit Ransomware) Remoção e recuperação O vírus .lockbit é um ransomware que está atualmente definido...
  8. LockBit Ransomware chega à empresa global de consultoria tecnológica Accenture A Accenture é a mais recente vítima da gangue de ransomware LockBit....

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo