I ricercatori di sicurezza di Checkpoint scoprono il ransomware veloce 'Rorschach' con caratteristiche uniche

I ricercatori di sicurezza della società Checkpoint hanno scoperto un malware che sembra essere un ceppo di ransomware con caratteristiche piuttosto distintive, che hanno chiamato Rorschach. Secondo i ricercatori, tra tutte le capacità testate, la velocità di crittografia è la più veloce tra gli altri ransomware.

Questo rapporto arriva dopo che la società di sicurezza ha analizzato un attacco informatico a un’azienda con sede negli Stati Uniti. Nel suo rapporto, la società di sicurezza Check Point menziona che l’attaccante ha distribuito malware sulla rete della vittima dopo aver sfruttato una vulnerabilità nello strumento di rilevamento delle minacce e risposta agli incidenti della vittima.

Inoltre, Rorschach è stato distribuito utilizzando un metodo di caricamento laterale DLL tramite una parte firmata in Cortex XDR, un prodotto di rilevamento e risposta estesa di Palo Alto Network.

Gli attaccanti hanno utilizzato lo strumento Cortex XDR Dump Service (cy.exe) versione 7.3.0.1.6740 per caricare lateralmente il caricatore e l’iniettore Rorschach (winutils.dll), che poi porta al payload “config.ini” in un processo di Notepad.

I file con il caricatore hanno protezione anti-analisi UPX, mentre il payload principale è protetto da ingegneria inversa e rilevamento virtualizzando parti del codice utilizzando il software VM Protect.

Check Point afferma che il ransomware Rorschach crea una Group Policy quando viene eseguito su un Windows Domain Controller, diffondendosi ad altri host nel dominio.

Quando la macchina viene infettata, il malware elimina quindi i quattro registri eventi, ovvero Sicurezza, Sistema, Applicazione e Windows Powershell, per cancellare qualsiasi esistenza di esso.

Leggi: Gli attaccanti inviano email di phishing IRS per installare il malware Emotett

Detto ciò, sebbene il malware venga fornito con una configurazione hard-coded, supporta argomenti da riga di comando che aumentano la funzionalità.

Bene, le opzioni sono nascoste e non sono accessibili senza ingegneria inversa del malware, afferma Check Point. Rorschach inizierà la crittografia dei dati solo se la macchina vittima è configurata con una lingua al di fuori della Comunità degli Stati Indipendenti.

Lo schema di crittografia mescola l’algoritmo curve25519 & eSTREAM cipher hc-128 e segue la tendenza della crittografia occasionale; ad esempio, crittografa solo parzialmente il file, aumentando così la velocità di elaborazione.

Check Point afferma che seguire la routine di base del malware rivela un’esecuzione altamente efficace della pianificazione dei thread tramite porte di completamento I/O.

“Inoltre, sembra che l’ottimizzazione del compilatore sia prioritaria per la velocità, con gran parte del codice inclinato. Tutti questi fattori ci fanno credere che potremmo avere a che fare con uno dei ransomware più veloci in circolazione“, menziona Check Point.

La società di sicurezza ha eseguito un test per scoprire quanto sia veloce la crittografia di Rorschach, un test che ha avuto 220.000 file impostati su un PC con CPU a sei core, e ci sono voluti circa 4,5 minuti a Rorschach per crittografare tutti i dati, mentre nel frattempo LockBit v3.0, considerato il ceppo di ransomware più veloce, ha terminato in circa 7 minuti.

Quando il malware blocca il sistema, invia un messaggio di riscatto identico al formato utilizzato dal ransomware Yanglowang. Ora, secondo i ricercatori, un precedente malware ha anche utilizzato una nota di riscatto simile a DrkSide.

Questa somiglianza è probabilmente ciò che ha portato i ricercatori a confondere una versione diversa di Rorschach con DarkSide, un’attività che è stata rinnovata in Black Matter nel 2021 e poi è scomparsa nello stesso anno.

Check Point afferma che Rorschach ha migliorato alcune caratteristiche di alcuni dei migliori ransomware trapelati online, ovvero LockBit v2.0, DarkSide e altro.

Al momento, la società di sicurezza afferma che le attività di Rorschach non sono note e, inoltre, non c’è alcun marchio, il che è raramente visto nel lato ransomware delle cose.

Leggi: Malware Common Magic & Power Magic utilizzati in attacchi di sorveglianza avanzati