Checkpoint-Sicherheitsforscher entdecken schnelle Ransomware 'Rorschach' mit einzigartigen Funktionen

Sicherheitsforscher der Checkpoint-Sicherheitsfirma entdeckten Malware, die wie eine Ransomware-Variante mit ziemlich ausgeprägten Merkmalen aussieht, die sie Rorschach nannten. Laut den Forschern ist die Verschlüsselungsgeschwindigkeit die schnellste unter den anderen Ransomware.

Dieser Bericht kommt, nachdem die Sicherheitsfirma einen Cyberangriff auf ein in den USA ansässiges Unternehmen analysiert hat. In ihrem Bericht erwähnt die Sicherheitsfirma Check Point, dass der Angreifer Malware im Netzwerk des Opfers eingesetzt hat, nachdem er eine Schwachstelle im Bedrohungserkennungs- und Vorfallreaktionstool des Opfers ausgenutzt hat.

Außerdem wurde Rorschach mithilfe einer DLL-Seitenladung über einen signierten Teil in Cortex XDR verteilt, einem erweiterten Erkennungs- und Reaktionsprodukt von Palo Alto Network.

Die Angreifer verwendeten das Tool Cortex XDR Dump Service (cy.exe) Version 7.3.0.1.6740, um den Rorschach-Lader und -Injektor (winutils.dll) seitlich zu laden, was dann zu der Payload “config.ini” in einem Notepad-Prozess führt.

Die Dateien mit dem Lader haben UPX-Anti-Analyse-Schutz, während die Hauptpayload durch Virtualisierung von Teilen des Codes mit der Software VM Protect vor Reverse Engineering und Erkennung geschützt ist.

Check Point sagt, dass die Ransomware Rorschach eine Gruppenrichtlinie erstellt, wenn sie auf einem Windows-Domänencontroller ausgeführt wird, die sich auf andere Hosts in der Domäne ausbreitet.

Wenn der Computer infiziert wird, löscht die Malware dann die vier Ereignisprotokolle, d.h. Sicherheit, System, Anwendung und die Windows PowerShell, um jegliche Existenz von ihr zu beseitigen.

Lesen: Angreifer senden IRS-Phishing-E-Mails, um Emotett-Malware zu installieren

Das gesagt, obwohl die Malware mit einer fest codierten Konfiguration kommt, unterstützt sie Befehlszeilenargumente, die die Funktionalität erhöhen.

Nun, die Optionen sind versteckt und ohne Reverse Engineering der Malware nicht zugänglich, sagt Check Point. Rorschach beginnt mit der Verschlüsselung von Daten nur, wenn der Computer des Opfers mit einer Sprache außerhalb der Gemeinschaft Unabhängiger Staaten konfiguriert ist.

Das Verschlüsselungsschema mischt den Curve25519- und den eSTREAM-Verschlüsselungsalgorithmus hc-128 und folgt dem gelegentlichen Verschlüsselungstrend; zum Beispiel verschlüsselt es die Datei nur teilweise, was die Verarbeitungsgeschwindigkeit erhöht.

Check Point sagt, dass die grundlegende Routine der Malware eine hochgradig erfolgreiche Ausführung der Thread-Planung über I/O-Vervollständigungsports offenbart.

“Darüber hinaus scheint es, dass die Compiler-Optimierung auf Geschwindigkeit priorisiert wird, wobei ein Großteil des Codes geneigt ist. All diese Faktoren lassen uns glauben, dass wir es möglicherweise mit einer der schnellsten Ransomware zu tun haben“, erwähnt Check Point.

Die Sicherheitsfirma führte einen Test durch, um herauszufinden, wie schnell die Rorschach-Verschlüsselung ist, ein Test, bei dem 220.000 Dateien auf einem Sechs-Kern-CPU-PC eingerichtet wurden, und es dauerte Rorschach etwa 4,5 Minuten, um alle Daten zu verschlüsseln, während LockBit v3.0, das als die schnellste Ransomware-Variante gilt, in etwa 7 Minuten fertig war.

Als die Malware das System sperrt, sendet sie eine Lösegeldnotiz, die identisch mit dem Format ist, das von der Yanglowang-Ransomware verwendet wird. Laut den Forschern verwendete eine frühere Malware auch eine ähnliche Ransomware-Notiz wie DrkSide.

Diese Ähnlichkeit ist wahrscheinlich der Grund, warum Forscher eine andere Version von Rorschach mit DarkSide verwechselten, eine Aktivität, die 2021 in Black Matter umbenannt wurde und dann im selben Jahr verschwand.

Check Point sagt, dass Rorschach einige bessere Funktionen von einigen der besten Ransomware, die online geleakt wurden, d.h. LockBit v2.0, DarkSide und mehr, übernommen hat.

Im Moment sagt die Sicherheitsfirma, dass die Aktivitäten von Rorschach nicht bekannt sind, und darüber hinaus gibt es keine Markenbildung, was in der Ransomware-Welt selten zu sehen ist.

Lesen: Common Magic & Power Magic Malware, die in fortgeschrittenen Überwachungsangriffen verwendet wird