Estás leyendo la publicación: Los investigadores de Checkpoint Security descubren el rápido ransomware ‘Rorschach’ con características únicas
Los investigadores de seguridad de la firma de seguridad Checkpoint descubrieron un malware que parece una cepa de Ransomware con características bastante distintivas, al que llamaron Rorschach. Según los investigadores, en todas las capacidades que han probado, la velocidad de cifrado es la más rápida entre los demás ransomware.
Este informe se produce después de que la empresa de seguridad analizara un ciberataque a una empresa con sede en Estados Unidos. En su informe, la firma de seguridad Check Point menciona que el atacante implementó malware en la red de la víctima después de aprovechar una falla en la herramienta de detección de amenazas y respuesta a incidentes de la víctima.
Además, Rorschach se distribuyó mediante un método de carga lateral de DLL a través de una parte firmada en Cortex XDR, un producto de detección y respuesta extendida de Palo Alto Network.
Los atacantes utilizaron la herramienta Cortex XDR Dump Service (cy.exe) versión 7.3.0.1.6740 para descargar el cargador e inyector Rorschach (winutils.dll), que luego conduce a la carga útil “config.ini” en un proceso de Bloc de notas.
Los archivos con el cargador tienen protección antianálisis UPX, mientras que la carga útil principal está protegida de ingeniería de reserva y detección mediante la virtualización de partes del código utilizando el software VM Protect.
Check Point dice que el ransomware Rorschach crea una política de grupo cuando se lleva a cabo en un controlador de dominio de Windows y se propaga a otros hosts del dominio.
A medida que la máquina se infecta, el malware elimina los cuatro registros de eventos, es decir, Seguridad, Sistema, Aplicación y Windows Powershell, para borrar cualquier existencia del mismo.
Leer: Los atacantes envían correos electrónicos de phishing del IRS para instalar el malware Emotett
Dicho esto, aunque el malware viene con una configuración codificada, admite argumentos de línea de comandos que aumentan la funcionalidad.
Bueno, las opciones están ocultas y no se puede acceder a ellas sin aplicar ingeniería inversa al malware, afirma Check Point. Rorschach comenzará a cifrar los datos sólo si la máquina víctima está configurada con un idioma fuera de la Comunidad de Estados Independientes.
El esquema de cifrado combina el algoritmo de cifrado curve25519 y eSTREAM hc-128 y sigue la tendencia de cifrado ocasional; por ejemplo, solo cifra el archivo parcialmente, lo que permite aumentar la velocidad de procesamiento.
Check Point dice que seguir la rutina básica del malware revela una ejecución muy exitosa de la programación de subprocesos a través de puertos de finalización de E/S.
“”, menciona Check Point.
La empresa de seguridad realizó una prueba para descubrir qué tan rápido es el cifrado de Rorschach, una prueba que tenía 220.000 archivos configurados en una PC con CPU de seis núcleos, y a Rorschach le tomó alrededor de 4,5 minutos cifrar todos los datos y, mientras tanto, LockBit v3.0, que Se considera la cepa de ransomware más rápida que finaliza en aproximadamente 7 minutos.
Cuando el malware bloquea el sistema, envía una nota de rescate idéntica al formato utilizado por el ransomware Yanglowang. Ahora, según los investigadores, un malware anterior también utilizaba una nota de ransomware similar a DrkSide.
Es probable que esta similitud sea lo que provocó que los investigadores confundieran una versión diferente de Rorschach con DarkSide, una actividad que se renovó a Black Matter en 2021 y luego desapareció ese mismo año.
Check Point dice que Rorschach ha mejorado algunas características de algunos de los mejores ransomware que se filtraron en línea, es decir, LockBit v2.0, DarkSide y más.
Por el momento, la firma de seguridad dice que las actividades de Rorschach no se conocen y, además, no hay ninguna marca, lo que rara vez se ve en el lado del ransomware.
Leer: Malware común de Magic y Power Magic utilizado en ataques de vigilancia avanzada