Ransomware Rorschach veoma brzo šifruje podatke
Ransomware Rorschach veoma brzo šifruje podatke pokazuje izvještaj sigurnosnih istraživača.
Novi ransomware
Sigurnosni istraživači su otkrili novi ransomware koji je nazvan Rorschach, koji cilja poslovne organizacije u SAD. Istraživanje pokazuje da spada u najbrže ransomware ikad viđene kada se govori o brzini šifrovanja podatka zbog različitih tehnika koje koristi u napadu.
Ovaj ransomware se lako prilagođava kako bi napadačima omogućio korištenje dodatnih mogućnosti prilagođavanjem njegovog ponašanja trenutnim potrebama. Ima i neke jedinstvene osobine koje nisu uobičajene kada se govori o ransomware zlonamjernom softveru, kao što je upotreba direktnih sistemski poziva.
Ono što ransomware Rorschach posebno izdvaja od ostalih ransomware zlonamjernih softvera je to što on nema dodatnih imena, jer on izgleda jedinstveno i ne može se lako povezati na sa jednom poznatom vrstom ransomware-a.
„Analiza ponašanja novog ransomware-a sugeriše da je djelimično autonoman, širi se automatski kada se izvrši na domenskom kontroleru (DC) dok briše evidenciju događaja pogođenih mašina. Pored toga, izuzetno je fleksibilan, radi ne samo na osnovu ugrađene konfiguracije već i na brojnim opcionalnim argumentima koji mu omogućavaju da promjeni svoje ponašanje u skladu sa potrebama operatera.“
– Check Point –
Rorschach ransomware mogućnosti
Kao što je već rečeno, Rorschach ransomware se ne može direktno povezati sa drugim ransomware porodicama, ali ipak ima neke sličnosti:
- Ransomware može automatski da se kopira nakon izvršenja na domenskom kontroleru, tako da je djelimično autonoman i ima mogućnost brisanja evidencije događaja nakon uspješnog napada. LockBit 2.0 je ranije imao slične funkcije.
- Rorschach ransomware zahtjev za otkup ima sličan format kao Yanluowang ransomware, dok druge varijante koriste zahtjev za otkup koja liči na DarkSide ransomware.
- Ransomware koristi hibridnu šemu kriptografije, koja je slična izvornom kôdu Babuk ransomware -a. Djelimično šifruje datoteke kombinovanjem algoritama curve25519 i eSTREAM cipher hc–128, značajno povećavajući brzinu šifrovanja. Prema istraživačima, Rorschach ransomware rutina šifrovanja pokazuje veoma efikasnu primjenu planiranja preko ulazno/izlaznih portova.
Rorschach ransomware funkcionisanje
Rorschach ransomware koristi tehniku DLL bočnog ubacivanja korištenjem digitalno potpisane komponente Cortex XDR, proizvoda kompanije Palo Alto Networks. Napadač koristi Cortex XDR Dump Service Tool (cy.exe) u verziji 7.3.0.16740 da bočno ubaci program za učitavanje i ubacivanje u proces kroz datoteku winutils.dll što dalje dovodi do učitavanja aktivnog dijela zlonamjernog softvera config.ini u Notepad proces.
Program za učitavanje sadrži zaštitu protiv forenzičke analize, dok je aktivni dio zlonamjernog softvera zaštićen od obrnutog inžinjeringa i otkrivanja korištenjem dijelova kôda za virtuelizaciju iz VMProtect softvera. Pored toga, ransomware prilikom postizanja uporišta na domenskom kontroleru pravi Group Policy kako bi se mogao širiti na druge uređaje u domeni. Nakon uspješne infekcije uređaja, ovaj zlonamjerni softver briše četiri evidencije događaja – Application, Security, System i Windows Powershell kako bi sakrio svoje tragove. Tu je još i podrška za izvršavanje komandi linijskog kôda koje mu proširuju mogućnosti.
Šifrovanje podataka
Rorschach ransomware je podešen da izvrši provjeru regiona, što znači da neće započeti šifrovanje korisničkih podataka ako se nalazi u zajednici nezavisnih država – odnosno savezu sastavljenom od 10 bivših sovjetskih republika.
Prilikom šifrovanja podataka ransomware kombinuje algoritme curve25519 i eSTREAM cipher hc-128 uz korištenje povremenog šifrovanja – prekrivene taktike koja koristi specijalizovane algoritme koji skrivaju svoje ponašanje šifrovanjem malih dijelova datoteke i naizmjeničnim izmjenama podataka između sekcija dok preskaču druge, što povećava brzinu šifrovanja.
Kako bi provjerili brzinu šifrovanja Rorschach ransomware-a, sigurnosni istraživači su koristili procesor sa šest jezgara za šifrovanje 220.000 datoteka. Rezultat je bio 4,5 minuta, gdje je do sad najbržem poznatom ransomware-u LockBit v3.0 bilo potrebno 7 minuta.
Zaštita
Za korisnike je važno održavanje jakih mjera sajber bezbjednosti za sprečavanje napada ransomware, kao i potrebu za stalnim praćenjem novih uzoraka ransomware kako bi bili ispred prijetnji koje se razvijaju. Kako raste učestalost i sofisticiranost ovih napada, od suštinskog je značaja za organizacije da ostanu budne i proaktivne u svojim naporima da se zaštite od ovih prijetnji. Kompanija Palo Alto Networks je objavila da je upoznata sa zloupotrebom Cortex XDR Dump Service Tool komponente i da planiraju da objave ažuriranje koje će riješiti ovaj problem. Također su izjavili da macOS i Linux platforme nisu pogođene ovim problemom.
Zaključak
Čini se da Rorschach ransomware koristi neke od najboljih zlonamjernih mogućnosti koje su do sada pokazane u javnosti od strane ostalih ransomware porodica, sve zajedno integrisane u jedan zlonamjerni softver. Pored toga, mogućnost samostalnog kopiranja kod Rorschach ransomware je nešto što definitivno podiže granicu mogućnosti u odnosu na druge ransomware porodice.
Zlonamjerni akteri koji rade na razvoju ovog ransomware-a su također primijenili nove tehnike protiv analize i izbjegavanja odbrane kako bi izbjegli otkrivanje i otežali bezbjednosnom softveru i istraživačima da ga analiziraju i ublaže njegove efekte.
U ovom trenutku operateri Rorschach ransomware-a ostaju nepoznati i nije uočeno reklamiranje ovog ransomware-a, a to je nešto što se rijetko viđa na sceni kada se radi o ransomware zlonamjernom softveru.