Rorschach е най-бързият криптиращ софтуер, виждан досега

При кибератака срещу американска компания изследователите на зловреден софтуер откриха нов щам на рансъмуер с „технически уникални характеристики“, който нарекоха Rorschach.

Сред наблюдаваните възможности е скоростта на криптиране, която според тестовете на изследователите би превърнала Rorschach в най-бързата заплаха от ransomware днес.

Анализаторите са установили, че хакерите са разположили зловредния софтуер в мрежата на жертвата, след като са използвали слабост в инструмент за откриване на заплахи и реагиране на инциденти.

Подробности за Rorschach

Изследователи от компанията за киберсигурност Check Point, които реагираха на инцидент в компания в САЩ, установиха, че Rorschach е бил внедрен с помощта на техниката за странично зареждане на DLL чрез подписан компонент в Cortex XDR, разширения продукт за откриване и реагиране на Palo Alto Networks.

Атакуващият е използвал Cortex XDR Dump Service Tool (cy.exe) версия 7.3.0.16740, за да зареди отстрани зареждащия и инжектиращия файл на Rorschach (winutils.dll), което е довело до стартиране на полезния товар на ransomware, „config.ini“, в процес на Notepad.

Файлът за зареждане се характеризира със защита срещу анализ в стил UPX, докато основният полезен товар е защитен срещу обратен инженеринг и откриване чрез виртуализиране на части от кода с помощта на софтуера VMProtect.

Check Point съобщава, че Rorschach създава групова политика, когато се изпълнява на Windows Domain Controller, която се разпространява на други хостове в домейна. След като компрометира машината, зловредният софтуер изтрива всички дневници за събития.

 

Въпреки че се предлага с твърдо зададена конфигурация, Rorschach поддържа аргументи от командния ред, които разширяват функционалността.

Check Point отбелязва, че опциите са скрити и до тях не може да се получи достъп без обратно инженерство на зловредния софтуер. По-долу са представени някои от аргументите, които изследователите са открили:

Процесът на криптиране

Rorschach ще започне да криптира данни само ако машината на жертвата е конфигурирана с език извън Общността на независимите държави (ОНД).

Схемата за криптиране съчетава алгоритмите curve25519 и eSTREAM шифър hc-128 и следва тенденцията на прекъсващо криптиране, което означава, че криптира файловете само частично, което му придава повишена скорост на обработка.

Изследователите отбелязват, че рутинната процедура за криптиране на Rorschach показва „високо ефективна реализация на планиране на нишки чрез портове за завършване на входно/изходни операции“.

„Освен това изглежда, че оптимизацията на компилатора е с приоритет за бързина, като голяма част от кода е инлайн. Всички тези фактори ни карат да смятаме, че може би си имаме работа с един от най-бързите рансъмуери.“ – пише Check Point

За да установи колко бързо е криптирането на Rorschach, Check Point създаде тест с 220 000 файла на машина с 6-ядрен процесор.

На Rorschach му бяха необходими 4,5 минути, за да криптира данните, докато LockBit v3.0, считан за най-бързия щам на ransomware, приключи за 7 минути.

След като блокира системата, зловредният софтуер пуска бележка за откуп, подобна на формата, използван от рансъмуера Yanlowang.

Според изследователите предишна версия на зловредния софтуер е използвала бележка за откуп, подобна на използваната от DarkSide.

Check Point казва, че тази прилика вероятно е накарала други изследователи да сбъркат различна версия на Rorschach с DarkSide – операция, която през 2021 г. се ребрандира на BlackMatter и изчезва същата година.

Членовете на BlackMatter alter създадоха операцията ALPHV/BlackCat ransomware, която стартира през ноември 2021 г.

Check Point оценява, че Rorschach е приложил по-добрите характеристики от някои от водещите щамове на рансъмуер, изтекли онлайн (Babuk, LockBit v2.0, DarkSide).

Заедно с възможностите за саморазпространение, зловредният софтуер „вдига летвата за атаки с цел откуп“.

Към момента операторите на рансъмуера Rorschach остават неизвестни и няма брандиране – нещо, което рядко се наблюдава на сцената на рансъмуера.

Снимки и инфографики: Check Point

Източник: По материали от Интернет

Подобни публикации

Глобиха Amazon с 30 млн. долара заради домофона...

Amazon ще плати 30 млн. долара глоби за уреждане на обвиненията в н...
1 юни 2023

Подробности за Migraine - уязвимост на Apple macOS

Microsoft сподели подробности за вече поправен недостатък в Apple m...

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да са ви открили, е от ключово ...
31 май 2023

Уязвимостта в Barracuda е използвана минимум 7 ...

Фирмата за корпоративна сигурност Barracuda разкри във вторник, че ...

Как да избегнете прегарянето в екипа си по кибе...

Въпреки че кибератаките се увеличават през последните години, една ...
30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
Бъдете социални
Още по темата
31/05/2023

Уязвимостта в Barracuda е и...

Фирмата за корпоративна сигурност Barracuda разкри...
30/05/2023

CosmicEnergy е способен да ...

Руски софтуер, който може да изключва...
27/05/2023

DarkFrost унищожава гейминг...

Наблюдава се нов ботнет, наречен Dark...
Последно добавени
01/06/2023

Глобиха Amazon с 30 млн. до...

Amazon ще плати 30 млн. долара...
01/06/2023

Подробности за Migraine - у...

Microsoft сподели подробности за вече поправен...
01/06/2023

Лов на заплахи в шест стъпки

Откриването на  заплахите, преди те да...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!