Исследователи безопасности Checkpoint обнаружили быстрое программное обеспечение-вымогатель 'Rorschach' с уникальными особенностями

Исследователи безопасности компании Checkpoint обнаружили вредоносное ПО, которое выглядит как разновидность программного обеспечения-вымогателя с довольно отличительными особенностями, которое они назвали Rorschach. Согласно исследователям, среди всех протестированных возможностей скорость шифрования является самой быстрой среди других программ-вымогателей.

Этот отчет появился после того, как компания безопасности проанализировала кибератаку на компанию, базирующуюся в США. В своем отчете компания Check Point упоминает, что злоумышленник развернул вредоносное ПО в сети жертвы, воспользовавшись уязвимостью в инструменте обнаружения угроз и реагирования на инциденты жертвы.

Кроме того, Rorschach распространялся с использованием метода побочного загрузки DLL через подписанную часть в Cortex XDR, расширенном продукте обнаружения и реагирования от Palo Alto Network.

Злоумышленники использовали инструмент Cortex XDR Dump Service (cy.exe) версии 7.3.0.1.6740 для побочной загрузки загрузчика и инжектора Rorschach (winutils.dll), который затем приводит к полезной нагрузке “config.ini” в процессе Notepad.

Файлы с загрузчиком имеют защиту от анализа UPX, в то время как основная полезная нагрузка защищена от реверс-инжиниринга и обнаружения путем виртуализации частей кода с использованием программного обеспечения VM Protect.

Check Point сообщает, что программное обеспечение-вымогатель Rorschach создает групповую политику, когда выполняется на контроллере домена Windows, распространяясь на другие хосты в домене.

Когда машина заражается, вредоносное ПО затем удаляет четыре журнала событий, т.е. Журнал безопасности, Журнал системы, Журнал приложений и Windows Powershell, чтобы стереть любое его существование.

Читать: Злоумышленники отправляют фишинговые электронные письма IRS для установки вредоносного ПО Emotett

Сказав это, хотя вредоносное ПО имеет жестко закодированную конфигурацию, оно поддерживает аргументы командной строки, которые увеличивают функциональность.

Что ж, опции скрыты и недоступны без реверс-инжиниринга вредоносного ПО, говорит Check Point. Rorschach начнет шифрование данных только в том случае, если машина жертвы настроена на язык, выходящий за пределы Содружества Независимых Государств.

Схема шифрования смешивает алгоритм curve25519 и шифр eSTREAM hc-128 и следует тенденции случайного шифрования; например, он шифрует файл частично, что увеличивает скорость обработки.

Check Point сообщает, что следование базовой рутине вредоносного ПО раскрывает высокоэффективное выполнение планирования потоков через порты завершения ввода-вывода.

“Кроме того, похоже, что оптимизация компилятора приоритизируется для скорости, при этом большая часть кода наклонена. Все эти факторы заставляют нас верить, что мы можем иметь дело с одним из самых быстрых программ-вымогателей на рынке“, упоминает Check Point.

Компания безопасности провела тест, чтобы выяснить, насколько быстрое шифрование Rorschach, тест, в котором было настроено 220,000 файлов на ПК с шестиядерным процессором, и Rorschach потребовалось около 4,5 минут, чтобы зашифровать все данные, в то время как LockBit v3.0, который считается самой быстрой разновидностью программ-вымогателей, завершил процесс за около 7 минут.

Когда вредоносное ПО блокирует систему, оно отправляет записку о выкупе, идентичную формату, используемому программой-вымогателем Yanglowang. Теперь, согласно исследователям, предыдущее вредоносное ПО также использовало аналогичную записку о выкупе, как DrkSide.

Это сходство, вероятно, и стало причиной того, что исследователи перепутали другую версию Rorschach с DarkSide, деятельность которой была обновлена до Black Matter в 2021 году, а затем исчезла в том же году.

Check Point сообщает, что Rorschach имеет некоторые улучшенные функции от некоторых из лучших программ-вымогателей, которые утекли в сеть, т.е. LockBit v2.0, DarkSide и других.

На данный момент компания безопасности сообщает, что деятельность Rorschach не известна, и более того, у него нет брендинга, что редко встречается в мире программ-вымогателей.

Читать: Вредоносное ПО Common Magic и Power Magic используется в продвинутых атаках наблюдения