Το ransomware Rorschach ανακαλύφθηκε πρόσφατα και είναι ο ταχύτερος κρυπτογράφος που έχει ανακαλυφθεί μέχρι σήμερα – ένα παιχνίδι που σίγουρα αλλάζει τα δεδομένα στον τομέα της ασφάλειας στον κυβερνοχώρο!
Μετά από μια κυβερνοεπίθεση σε μια αμερικανική εταιρεία, εξειδικευμένοι ερευνητές κακόβουλου λογισμικού εντόπισαν κάτι που φαίνεται να είναι ένα πρωτοφανές στέλεχος ransomware που ξεχωρίζει από τα υπάρχοντα λόγω των “τεχνικά μοναδικών χαρακτηριστικών” του και το ονόμασαν Rorschach.
Οι δοκιμές που πραγματοποίησαν οι ερευνητές διαπίστωσαν ότι το Rorschach είναι επί του παρόντος το ταχύτερο διαθέσιμο ransomware, ειδικά όσον αφορά την ταχύτητα κρυπτογράφησης.
Αφού εκμεταλλεύτηκαν μια ευπάθεια στο εργαλείο ανίχνευσης απειλών και αντιμετώπισης περιστατικών, οι εγκληματίες εξαπέλυσαν το κακόβουλο λογισμικό τους στο δίκτυο του άτυχου θύματος- αυτό ανακαλύφθηκε από αναλυτές.
Λεπτομέρειες Rorschach
Σε απάντηση σε ένα περιστατικό σε μια εταιρεία με έδρα τις ΗΠΑ, οι ειδικοί της Check Point αποκάλυψαν ότι το Rorschach είχε διαδοθεί χρησιμοποιώντας την τεχνική DLL side-loading μέσω ενός από τα υπογεγραμμένα συστατικά του Cortex XDR, του εκτεταμένου εργαλείου ανίχνευσης και απόκρισης της Palo Alto Networks.
Ο επιτιθέμενος χρησιμοποίησε την έκδοση cy.exe 7.3.0 από το Cortex XDR Dump Service Tool για να παραδώσει τον loader Rorschach και τον injector (winutils.dll) που προκάλεσε την εκκίνηση του ransomware payload, “config.ini” στη διαδικασία Notepad με μια γρήγορη κίνηση!
Το αρχείο φόρτωσης διαθέτει προστασία κατά της ανάλυσης τύπου UPX, ενώ το κύριο payload προστατεύεται από reverse engineering και εντοπισμό μέσω εικονικοποίησης τμημάτων του κώδικα χρησιμοποιώντας το λογισμικό VMProtect.
Σύμφωνα με τα ευρήματα της Check Point, όταν το Rorschach ενεργοποιείται σε έναν Windows Domain Controller, θα δημιουργήσει μια ολοκληρωμένη πολιτική ομάδας που μπορεί στη συνέχεια να εξαπλωθεί σε άλλους hosts του domain.
Αφού εκμεταλλευτεί ένα σύστημα, το κακόβουλο λογισμικό σβήνει συστηματικά τα ψηφιακά ίχνη του, διαγράφοντας τέσσερα αρχεία καταγραφής συμβάντων – Application, Security, System και Windows Powershell.
Το Rorschach έρχεται οπλισμένο με προ-προγραμματισμένες ρυθμίσεις, αλλά μπορείτε επίσης να ξεκλειδώσετε ακόμα πιο ισχυρές δυνατότητες χρησιμοποιώντας ορίσματα γραμμής εντολών.
Σύμφωνα με την Check Point, ο κακόβουλος κώδικας είναι τόσο πολύπλοκα κρυμμένος που απαιτεί reverse engineering για να αποκαλυφθεί πλήρως.
Η διαδικασία κρυπτογράφησης του Rorschach
Το Rorschach θα αρχίσει να κρυπτογραφεί τα δεδομένα μόνο όταν το σύστημα στο οποίο απευθύνεται είναι ρυθμισμένο με μια γλώσσα που δεν ανήκει στην Κοινοπολιτεία Ανεξάρτητων Κρατών (CIS).
Αυτό το σύστημα κρυπτογράφησης είναι ένας συνδυασμός των αλγορίθμων curve25519 και eSTREAM cipher hc-128 και ακολουθεί την τάση διαλείψεων. Αντί να κρυπτογραφεί πλήρως τα αρχεία, παρέχει μερική προστασία, η οποία τελικά επιταχύνει σημαντικά την ταχύτητα υπολογισμού.
Σύμφωνα με τους ερευνητές, η ρουτίνα κρυπτογράφησης του Rorschach δείχνει εξαιρετική ικανότητα στη χρήση των θυρών ολοκλήρωσης εισόδου/εξόδου για αποτελεσματικό χρονοπρογραμματισμό thread.
Για να μετρήσει την αποτελεσματικότητα της κρυπτογράφησης του Rorschach, η Check Point έθεσε την ταχύτητά του σε δοκιμασία με ένα πείραμα που χρησιμοποίησε 220.000 αρχεία σε ένα μηχάνημα με 6 πυρήνες CPU.
Σε σύγκριση με το LockBit v3.0, το ταχύτερο διαθέσιμο στέλεχος ransomware, το Rorschach κατάφερε να κρυπτογραφήσει τα δεδομένα σε εκπληκτικά 4,5 λεπτά – ένα κατόρθωμα που χρειάστηκε η ανώτερη παραλλαγή 7 λεπτά χρόνου επεξεργασίας!
Μετά το κλείδωμα του συστήματος, εμφανίζεται ένα σημείωμα λύτρων παρόμοιο με εκείνα που χρησιμοποιεί το ransomware Yanlowang.
Όπως ανακάλυψαν οι ερευνητές, μια προηγούμενη έκδοση του κακόβουλου λογισμικού είχε χρησιμοποιήσει ένα μήνυμα εκβιασμού παρόμοιο με αυτό που χρησιμοποίησε αργότερα η DarkSide.
Σύμφωνα με την Check Point, φαίνεται ότι η ομοιότητα μεταξύ του Rorschach και της DarkSide – μιας επιχείρησης που μετονομάστηκε σε BlackMatter το 2021 πριν εξαφανιστεί μυστηριωδώς αργότερα το ίδιο έτος – ήταν πιθανότατα αυτό που προκάλεσε τη σύγχυση άλλων ερευνητών.
Τον Νοέμβριο του 2021, τα μέλη της BlackMatter ένωσαν τις δυνάμεις τους για να δημιουργήσουν την επιχείρηση ALPHV/BlackCat ransomware.
Σύμφωνα με την Check Point, το Rorschach έχει χρησιμοποιήσει τα πιο αποτελεσματικά χαρακτηριστικά από δημοφιλή στελέχη ransomware που είναι διαθέσιμα στο διαδίκτυο, όπως τα Babuk, LockBit v2.0 και DarkSide.
Αυτό το κακόβουλο λογισμικό όχι μόνο αυτοδιαδίδεται, αλλά αυξάνει και σημαντικά το διακύβευμα των επιθέσεων για λύτρα.
Αυτή τη στιγμή οι χειριστές του ransomware Rorschach παραμένουν άγνωστοι και δεν υπάρχει επωνυμία, κάτι που σπάνια παρατηρείται στη σκηνή του ransomware.
Πηγή πληροφοριών: bleepingcomputer.com
