Pesquisadores de Segurança da Checkpoint Descobrem Ransomware Rápido 'Rorschach' com Recursos Únicos

Pesquisadores de segurança da empresa Checkpoint descobriram um malware que se parece com uma variante de ransomware com características bastante distintas, que eles nomearam de Rorschach. De acordo com os pesquisadores, em todas as capacidades que testaram, a velocidade de criptografia é a mais rápida entre os outros ransomwares.

Este relatório vem após a empresa de segurança analisar um ciberataque a uma empresa com sede nos EUA. Em seu relatório, a empresa de segurança Check Point menciona que o atacante implantou malware na rede da vítima após aproveitar uma falha na ferramenta de detecção de ameaças e resposta a incidentes da vítima.

Além disso, o Rorschach foi distribuído usando um método de carregamento lateral de DLL através de uma parte assinada no Cortex XDR, um produto de detecção e resposta estendida da Palo Alto Network.

Os atacantes usaram a ferramenta Cortex XDR Dump Service (cy.exe) versão 7.3.0.1.6740 para carregar lateralmente o carregador e injetor Rorschach (winutils.dll), que então leva ao payload “config.ini” em um processo do Notepad.

Os arquivos com o carregador têm proteção anti-análise UPX, enquanto o payload principal é protegido contra engenharia reversa e detecção virtualizando partes do código usando o software VM Protect.

A Check Point afirma que o ransomware Rorschach cria uma Política de Grupo quando executado em um Controlador de Domínio do Windows, espalhando-se para outros hosts no domínio.

À medida que a máquina é infectada, o malware então exclui os quatro logs de eventos, ou seja, Segurança, Sistema, Aplicação e o Windows Powershell, para apagar qualquer existência dele.

Leia: Atacantes Enviando E-mails de Phishing do IRS para Instalar Malware Emotett

Dito isso, embora o malware venha com uma configuração codificada, ele suporta argumentos de linha de comando que aumentam a funcionalidade.

Bem, as opções estão ocultas e não são acessíveis sem engenharia reversa do malware, diz a Check Point. O Rorschach começará a criptografar dados apenas se a máquina da vítima estiver configurada com um idioma fora da Comunidade dos Estados Independentes.

O esquema de criptografia mistura o algoritmo de cifra curve25519 & eSTREAM hc-128 e segue a tendência de criptografia ocasional; por exemplo, ele criptografa o arquivo parcialmente, aumentando a velocidade de processamento.

A Check Point afirma que seguir a rotina básica do malware revela uma execução altamente bem-sucedida do agendamento de threads via portas de conclusão de I/O.

“Além disso, parece que a otimização do compilador é priorizada para velocidade, com grande parte do código sendo inclinada. Todos esses fatores nos fazem acreditar que podemos estar lidando com um dos ransomwares mais rápidos disponíveis“, menciona a Check Point.

A empresa de segurança realizou um teste para descobrir quão rápida é a criptografia do Rorschach, um teste que tinha 220.000 arquivos configurados em um PC com CPU de seis núcleos, e levou cerca de 4,5 minutos para o Rorschach criptografar todos os dados, enquanto o LockBit v3.0, considerado a variante de ransomware mais rápida, terminou em cerca de 7 minutos.

À medida que o malware bloqueia o sistema, ele envia uma nota de resgate idêntica ao formato usado pelo ransomware Yanglowang. Agora, de acordo com os pesquisadores, um malware anterior também usou uma nota de resgate semelhante ao DrkSide.

Essa semelhança é provavelmente o que fez os pesquisadores confundirem uma versão diferente do Rorschach com o DarkSide, uma atividade que foi reformulada para Black Matter em 2021 e depois desapareceu no mesmo ano.

A Check Point afirma que o Rorschach possui alguns recursos melhores de alguns dos melhores ransomwares que vazaram online, ou seja, LockBit v2.0, DarkSide e mais.

No momento, a empresa de segurança diz que as atividades do Rorschach não são conhecidas e, além disso, não há branding dele, o que é raramente visto no lado dos ransomwares.

Leia: Malware Comum Magic & Power Magic Usado em Ataques de Vigilância Avançados