Investigadores de Seguridad de Checkpoint Descubren Ransomware Rápido ‘Rorschach’ con Características Únicas

Los investigadores de seguridad de la firma Checkpoint descubrieron malware que parece ser una variante de ransomware con características bastante distintivas, a la que llamaron Rorschach. Según los investigadores, en todas las capacidades que han probado, la velocidad de cifrado es la más rápida entre los otros ransomware.

Este informe llega después de que la firma de seguridad analizara un ciberataque a una empresa con sede en EE. UU. En su informe, la firma de seguridad Check Point menciona que el atacante desplegó malware en la red de la víctima después de aprovechar una falla en la herramienta de detección de amenazas y respuesta a incidentes de la víctima.

Además, Rorschach se distribuyó utilizando un método de carga lateral de DLL a través de una parte firmada en Cortex XDR, un producto de detección y respuesta extendida de Palo Alto Network.

Los atacantes utilizaron la herramienta Cortex XDR Dump Service (cy.exe) versión 7.3.0.1.6740 para cargar lateralmente el cargador e inyector de Rorschach (winutils.dll), que luego lleva a la carga útil “config.ini” en un proceso de Notepad.

Los archivos con el cargador tienen protección anti-análisis de UPX, mientras que la carga útil principal está protegida contra ingeniería inversa y detección al virtualizar partes del código utilizando el software VM Protect.

Check Point dice que el ransomware Rorschach crea una Política de Grupo cuando se ejecuta en un Controlador de Dominio de Windows que se propaga a otros hosts en el dominio.

A medida que la máquina se infecta, el malware elimina los cuatro registros de eventos, es decir, Seguridad, Sistema, Aplicación y el Windows Powershell, para borrar cualquier existencia de él.

Leer: Atacantes Enviando Correos Electrónicos de Phishing del IRS para Instalar Malware Emotett

Dicho esto, aunque el malware viene con una configuración codificada, admite argumentos de línea de comandos que aumentan la funcionalidad.

Bueno, las opciones están ocultas y no son accesibles sin ingeniería inversa del malware, dice Check Point. Rorschach comenzará el cifrado de datos solo si la máquina víctima está configurada con un idioma fuera de la Comunidad de Estados Independientes.

El esquema de cifrado mezcla el algoritmo de curva25519 y el cifrado eSTREAM hc-128 y sigue la tendencia de cifrado ocasional; por ejemplo, solo cifra el archivo parcialmente, lo que aumenta la velocidad de procesamiento.

Check Point dice que seguir la rutina básica del malware revela una ejecución altamente exitosa de la programación de hilos a través de puertos de finalización de E/S.

“Además, parece que la optimización del compilador se prioriza por velocidad, con gran parte del código siendo inclinado. Todos estos factores nos hacen creer que podríamos estar tratando con uno de los ransomware más rápidos que existen”, menciona Check Point.

La firma de seguridad realizó una prueba para encontrar cuán rápida es la cifrado de Rorschach, una prueba que tenía 220,000 archivos configurados en una PC de CPU de seis núcleos, y le tomó a Rorschach aproximadamente 4.5 minutos cifrar todos los datos y, mientras tanto, LockBit v3.0, que se considera la variante de ransomware más rápida, terminó en aproximadamente 7 minutos.

A medida que el malware bloquea el sistema, envía una nota de rescate idéntica al formato utilizado por el ransomware Yanglowang. Ahora, según los investigadores, un malware anterior también utilizó una nota de rescate similar a DrkSide.

Esta similitud es probablemente lo que causó que los investigadores confundieran una versión diferente de Rorschach con DarkSide, una actividad que se renovó a Black Matter en 2021 y luego desapareció ese mismo año.

Check Point dice que Rorschach ha mejorado algunas características de algunos de los mejores ransomware que se filtraron en línea, es decir, LockBit v2.0, DarkSide y más.

En este momento, la firma de seguridad dice que las actividades de Rorschach no son conocidas y, además, no hay marca de él, lo cual es raro en el ámbito del ransomware.

Leer: Malware Común Magic y Power Magic Utilizado en Ataques de Vigilancia Avanzados