チェックポイントのセキュリティ研究者がユニークな特徴を持つ高速ランサムウェア「ロールシャッハ」を発見

チェックポイントのセキュリティ研究者は、かなり独特な特徴を持つランサムウェアの亜種に見えるマルウェアを発見し、それを「ロールシャッハ」と名付けました。研究者によると、テストしたすべての機能の中で、暗号化速度は他のランサムウェアの中で最も速いとのことです。

この報告は、セキュリティ会社が米国の企業に対するサイバー攻撃を分析した後に発表されました。チェックポイント社の報告によると、攻撃者は被害者の脅威検出およびインシデントレスポンスツールの欠陥を利用して、被害者のネットワークにマルウェアを展開しました。

また、ロールシャッハは、パロアルトネットワークの拡張検出および応答製品であるCortex XDRの署名された部分を介してDLLサイドローディング手法を使用して配布されました。

攻撃者は、Cortex XDR Dump Serviceツール（cy.exe）7.3.0.1.6740バージョンを使用して、ロールシャッハローダーおよびインジェクター（winutils.dll）をサイドロードし、その後「config.ini」というペイロードをNotepadプロセスに導入しました。

ローダーを含むファイルはUPXアンチ分析保護を持ち、メインペイロードはVM Protectソフトウェアを使用してコードの一部を仮想化することでリバースエンジニアリングおよび検出から保護されています。

チェックポイントによると、ランサムウェアロールシャッハは、Windowsドメインコントローラーで実行されるとグループポリシーを作成し、ドメイン内の他のホストに広がります。

マシンが感染すると、マルウェアはセキュリティ、システム、アプリケーション、ウィンドウパワーシェルの4つのイベントログを削除し、その存在を消去します。

読む: 攻撃者がIRSフィッシングメールを送信してEmotettマルウェアをインストール

そう言われると、マルウェアにはハードコーディングされた設定があるものの、機能を増加させるコマンドライン引数をサポートしています。

チェックポイントによると、オプションは隠されており、マルウェアをリバースエンジニアリングしない限りアクセスできません。ロールシャッハは、被害者のマシンが独立国家共同体の外の言語で構成されている場合にのみ、データの暗号化を開始します。

暗号化スキームはcurve25519とeSTREAM暗号hc-128アルゴリズムを混合し、時折の暗号化トレンドに従います。たとえば、ファイルを部分的にのみ暗号化し、処理速度を向上させます。

チェックポイントによると、マルウェアの基本的なルーチンを追うことで、I/O完了ポートを介したスレッドスケジューリングの非常に成功した実行が明らかになります。

「さらに、コンパイラの最適化は速度を優先しているようで、コードの多くが傾いています。これらすべての要因により、私たちは現在、最も速いランサムウェアの1つに対処している可能性があると信じています」とチェックポイントは述べています。

セキュリティ会社は、ロールシャッハの暗号化がどれほど速いかを調べるテストを実施しました。このテストでは、220,000ファイルが6コアCPUのPCに設定され、ロールシャッハはすべてのデータを暗号化するのに約4.5分かかり、その間に最も速いランサムウェア亜種と見なされるLockBit v3.0は約7分で終了しました。

マルウェアがシステムをロックすると、Yanglowangランサムウェアで使用される形式と同じランサムノートを送信します。研究者によると、以前のマルウェアもDrkSideと同様のランサムノートを使用していました。

この類似性が、研究者がロールシャッハの異なるバージョンをDarkSideと誤認した原因である可能性が高く、この活動は2021年にBlack Matterに改編され、その年に消失しました。

チェックポイントによると、ロールシャッハは、オンラインで漏洩した最高のランサムウェアのいくつかからいくつかの優れた機能を持っています。すなわち、LockBit v2.0、DarkSideなどです。

現時点で、セキュリティ会社はロールシャッハの活動は不明であり、さらに、ブランド名もなく、これはランサムウェアの側ではめったに見られないことです。

読む: 高度な監視攻撃に使用される一般的なマジックおよびパワーマジックマルウェア