Des chercheurs en sécurité de Checkpoint découvrent un ransomware rapide 'Rorschach' avec des caractéristiques uniques

Des chercheurs en sécurité de la société Checkpoint ont découvert un malware qui ressemble à une souche de ransomware avec des caractéristiques assez distinctives, qu’ils ont nommé Rorschach. Selon les chercheurs, parmi toutes les capacités qu’ils ont testées, la vitesse de chiffrement est la plus rapide parmi les autres ransomwares.

Ce rapport fait suite à l’analyse par la société de sécurité d’une cyberattaque contre une entreprise basée aux États-Unis. Dans son rapport, la société de sécurité Check Point mentionne que l’attaquant a déployé un malware sur le réseau de la victime après avoir profité d’une faille dans l’outil de détection des menaces et de réponse aux incidents de la victime.

De plus, Rorschach a été distribué en utilisant une méthode de chargement latéral de DLL via une partie signée dans Cortex XDR, un produit de détection et de réponse étendue de Palo Alto Network.

Les attaquants ont utilisé l’outil Cortex XDR Dump Service (cy.exe) version 7.3.0.1.6740 pour charger latéralement le chargeur et l’injecteur Rorschach (winutils.dll), ce qui conduit ensuite à la charge utile “config.ini” dans un processus Notepad.

Les fichiers avec le chargeur ont une protection anti-analyse UPX, tandis que la charge utile principale est protégée contre l’ingénierie inverse et la détection en virtualisant des parties du code à l’aide du logiciel VM Protect.

Check Point indique que le ransomware Rorschach crée une stratégie de groupe lorsqu’il est exécuté sur un contrôleur de domaine Windows, se propageant à d’autres hôtes sur le domaine.

Lorsque la machine est infectée, le malware supprime alors les quatre journaux d’événements, à savoir, Sécurité, Système, Application et Windows Powershell, pour effacer toute existence de celui-ci.

Lire: Des attaquants envoient des e-mails de phishing de l’IRS pour installer le malware Emotett

Cela dit, bien que le malware soit livré avec une configuration codée en dur, il prend en charge des arguments de ligne de commande qui augmentent la fonctionnalité.

Eh bien, les options sont cachées et ne sont pas accessibles sans ingénierie inverse du malware, déclare Check Point. Rorschach commencera le chiffrement des données uniquement si la machine victime est configurée avec une langue en dehors de la Communauté des États indépendants.

Le schéma de chiffrement mélange l’algorithme de courbe25519 et le chiffrement eSTREAM hc-128 et suit la tendance de chiffrement occasionnel ; par exemple, il ne chiffre le fichier que partiellement, ce qui augmente la vitesse de traitement.

Check Point indique que le suivi de la routine de base du malware révèle une exécution très réussie de la planification des threads via des ports de complétion I/O.

“De plus, il semble que l’optimisation du compilateur soit priorisée pour la vitesse, une grande partie du code étant inclinée. Tous ces facteurs nous font croire que nous pourrions avoir affaire à l’un des ransomwares les plus rapides qui existent“, mentionne Check Point.

La société de sécurité a effectué un test pour déterminer la vitesse de chiffrement de Rorschach, un test qui avait 220 000 fichiers configurés sur un PC à six cœurs, et il a fallu à Rorschach environ 4,5 minutes pour chiffrer toutes les données, tandis que LockBit v3.0, considéré comme la souche de ransomware la plus rapide, a terminé en environ 7 minutes.

Alors que le malware verrouille le système, il envoie une note de rançon identique au format utilisé par le ransomware Yanglowang. Selon les chercheurs, un malware précédent avait également utilisé une note de rançon similaire à DrkSide.

Cette similitude est probablement ce qui a conduit les chercheurs à confondre une version différente de Rorschach avec DarkSide, une activité qui a été révisée en Black Matter en 2021 et a ensuite disparu la même année.

Check Point indique que Rorschach a amélioré certaines fonctionnalités de certains des meilleurs ransomwares qui ont fuité en ligne, à savoir LockBit v2.0, DarkSide et plus.

Pour le moment, la société de sécurité indique que les activités de Rorschach ne sont pas connues, et de plus, il n’y a pas de marque associée, ce qui est rarement observé dans le domaine des ransomwares.

Lire: Malware Magic commun et Power Magic utilisé dans des attaques de surveillance avancées