{"id":4600,"date":"2023-04-06T16:51:05","date_gmt":"2023-04-06T15:51:05","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4600"},"modified":"2023-04-11T21:43:02","modified_gmt":"2023-04-11T20:43:02","slug":"ransomware-rorschach-veoma-brzo-sifruje-podatke","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/04\/06\/ransomware-rorschach-veoma-brzo-sifruje-podatke\/","title":{"rendered":"Ransomware Rorschach veoma brzo \u0161ifruje podatke"},"content":{"rendered":"<p><span style=\"font-size: 14pt;\"><em>Ransomware<\/em> <em>Rorschach<\/em> veoma brzo <a href=\"https:\/\/sajberinfo.com\/en\/2022\/03\/20\/enkripcija-podataka-istorija-i-osnove-epizoda-1\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifruje<\/a> podatke pokazuje <a href=\"https:\/\/research.checkpoint.com\/2023\/rorschach-a-new-sophisticated-and-fast-ransomware\/\" target=\"_blank\" rel=\"noopener\">izvje\u0161taj <\/a>sigurnosnih istra\u017eiva\u010da.<\/span><\/p>\n<div id=\"attachment_4605\" style=\"width: 1034px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-4605\" class=\"size-full wp-image-4605\" src=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/Ransomware-Rorschach.jpg\" alt=\"Ransomware Rorschach\" width=\"1024\" height=\"651\" srcset=\"https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/Ransomware-Rorschach.jpg 1024w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/Ransomware-Rorschach-300x191.jpg 300w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/Ransomware-Rorschach-768x488.jpg 768w, https:\/\/sajberinfo.com\/wp-content\/uploads\/2023\/04\/Ransomware-Rorschach-18x12.jpg 18w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><p id=\"caption-attachment-4605\" class=\"wp-caption-text\"><em>Ransomware Rorschach veoma brzo \u0161ifruje podatke; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n<h2><span style=\"font-size: 14pt;\"><strong>Novi <em>ransomware<\/em><\/strong><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Sigurnosni istra\u017eiva\u010di su otkrili novi <em>ransomware <\/em>koji je nazvan <em>Rorschach<\/em>, koji cilja poslovne organizacije u SAD. Istra\u017eivanje pokazuje da spada u najbr\u017ee <em>ransomware<\/em> ikad vi\u0111ene kada se govori o brzini <a href=\"https:\/\/sajberinfo.com\/en\/2022\/04\/10\/enkripcija-podataka-funkcionisanje-i-vrste-epizoda-2\/\" target=\"_blank\" rel=\"nofollow noopener\">\u0161ifrovanja podatka<\/a> zbog razli\u010ditih tehnika koje koristi u napadu.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ovaj <em>ransomware <\/em>se lako prilago\u0111ava kako bi napada\u010dima omogu\u0107io kori\u0161tenje dodatnih mogu\u0107nosti prilago\u0111avanjem njegovog pona\u0161anja trenutnim potrebama. Ima i neke jedinstvene osobine koje nisu uobi\u010dajene kada se govori o <em>ransomware<\/em> <a href=\"https:\/\/sajberinfo.com\/en\/2021\/09\/26\/malware\/\" target=\"_blank\" rel=\"nofollow noopener\">zlonamjernom softveru<\/a>, kao \u0161to je upotreba direktnih sistemski poziva.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Ono \u0161to <em>ransomware Rorschach <\/em>posebno izdvaja od ostalih <em>ransomware <\/em>zlonamjernih softvera je to\u00a0\u00a0 \u0161to on nema dodatnih imena, jer on izgleda jedinstveno i ne mo\u017ee se lako povezati na sa jednom poznatom vrstom <em>ransomware-<\/em>a<em>.<\/em><\/span><\/p>\n<p><span style=\"font-size: 14pt;\"><em>\u00a0<\/em><\/span><\/p>\n<blockquote><p><span style=\"font-size: 14pt;\"><em>\u201eAnaliza pona\u0161anja novog ransomware-a sugeri\u0161e da je djelimi\u010dno autonoman, \u0161iri se automatski kada se izvr\u0161i na domenskom kontroleru (DC) dok bri\u0161e evidenciju doga\u0111aja pogo\u0111enih ma\u0161ina. Pored toga, izuzetno je fleksibilan, radi ne samo na osnovu ugra\u0111ene konfiguracije ve\u0107 i na brojnim opcionalnim argumentima koji mu omogu\u0107avaju da promjeni svoje pona\u0161anje u skladu sa potrebama operatera.\u201c<\/em><\/span><\/p>\n<p style=\"text-align: right;\"><span style=\"font-size: 14pt;\"><em>&#8211; <\/em><a href=\"https:\/\/research.checkpoint.com\/2023\/rorschach-a-new-sophisticated-and-fast-ransomware\/\" target=\"_blank\" rel=\"noopener\"><em>Check Point<\/em><\/a><em> &#8211;<\/em><\/span><\/p>\n<\/blockquote>\n<p>&nbsp;<\/p>\n<h2><span style=\"font-size: 14pt;\"><strong><em>Rorschach ransomware <\/em>mogu\u0107nosti<\/strong><\/span><\/h2>\n<p><span style=\"font-size: 14pt;\">Kao \u0161to je ve\u0107 re\u010deno, <em>Rorschach ransomware <\/em>se ne mo\u017ee direktno povezati sa drugim <em>ransomware<\/em> porodicama, ali ipak ima neke sli\u010dnosti:<\/span><\/p>\n<ul>\n<li><span style=\"font-size: 14pt;\">Ransomware mo\u017ee automatski da se kopira nakon izvr\u0161enja na domenskom kontroleru, tako da je djelimi\u010dno autonoman i ima mogu\u0107nost brisanja evidencije doga\u0111aja nakon uspje\u0161nog napada. <em>LockBit 2.0<\/em> je ranije imao sli\u010dne funkcije.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\"><em>Rorschach ransomware <\/em>zahtjev za otkup ima sli\u010dan format kao <em>Yanluowang<\/em> <em>ransomware<\/em>, dok druge varijante koriste zahtjev za otkup koja li\u010di na <em>DarkSide<\/em> <em>ransomware<\/em>.<\/span><\/li>\n<li><span style=\"font-size: 14pt;\">Ransomware koristi hibridnu \u0161emu kriptografije, koja je sli\u010dna izvornom k\u00f4du <em>Babuk<\/em> <em>ransomware <\/em>-a. Djelimi\u010dno \u0161ifruje datoteke kombinovanjem algoritama <em>curve25519<\/em> i <em>eSTREAM<\/em> <em>cipher<\/em> <em>hc<\/em>&#8211;<em>128<\/em>, zna\u010dajno pove\u0107avaju\u0107i brzinu \u0161ifrovanja. Prema istra\u017eiva\u010dima, <em>Rorschach ransomware<\/em> rutina \u0161ifrovanja pokazuje veoma efikasnu primjenu planiranja preko ulazno\/izlaznih portova.<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<h3><strong><span style=\"font-size: 14pt;\"><em>Rorschach ransomware <\/em>funkcionisanje<\/span><\/strong><\/h3>\n<p><span style=\"font-size: 14pt;\"><em>Rorschach ransomware<\/em> koristi tehniku <em>DLL<\/em> bo\u010dnog ubacivanja kori\u0161tenjem digitalno potpisane komponente <em>Cortex XDR<\/em>, proizvoda kompanije <em>Palo Alto Networks<\/em>. Napada\u010d koristi <em>Cortex<\/em> <em>XDR<\/em> <em>Dump Service Tool<\/em> (<em>cy.exe<\/em>) u verziji <em>7.3.0.16740<\/em> da bo\u010dno ubaci program za u\u010ditavanje i ubacivanje u proces kroz datoteku <em>winutils.dll<\/em> \u0161to dalje dovodi do u\u010ditavanja <a href=\"https:\/\/sajberinfo.com\/en\/2023\/04\/11\/payload\/\" target=\"_blank\" rel=\"nofollow noopener\">aktivnog dijela zlonamjernog softvera<\/a> <em>config.ini<\/em> u <em>Notepad<\/em> proces.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Program za u\u010ditavanje sadr\u017ei za\u0161titu protiv forenzi\u010dke analize, dok je aktivni dio zlonamjernog softvera za\u0161ti\u0107en od obrnutog in\u017einjeringa i otkrivanja kori\u0161tenjem dijelova k\u00f4da za virtuelizaciju iz <em>VMProtect<\/em> softvera. Pored toga, <em>ransomware<\/em> prilikom postizanja upori\u0161ta na domenskom kontroleru pravi <em>Group<\/em> <em>Policy<\/em> kako bi se mogao \u0161iriti na druge ure\u0111aje u domeni. Nakon uspje\u0161ne infekcije ure\u0111aja, ovaj zlonamjerni softver bri\u0161e \u010detiri evidencije doga\u0111aja &#8211; <em>Application<\/em>, <em>Security<\/em>, <em>System<\/em> i <em>Windows<\/em> <em>Powershell<\/em> kako bi sakrio svoje tragove. Tu je jo\u0161 i podr\u0161ka za izvr\u0161avanje komandi linijskog k\u00f4da koje mu pro\u0161iruju mogu\u0107nosti.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h4><span style=\"font-size: 14pt;\"><strong>\u0160ifrovanje podataka<\/strong><\/span><\/h4>\n<p><span style=\"font-size: 14pt;\"><em>Rorschach ransomware<\/em> je pode\u0161en da izvr\u0161i provjeru regiona, \u0161to zna\u010di da ne\u0107e zapo\u010deti \u0161ifrovanje korisni\u010dkih podataka ako se nalazi u zajednici nezavisnih dr\u017eava \u2013 odnosno savezu sastavljenom od 10 biv\u0161ih sovjetskih republika.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Prilikom \u0161ifrovanja podataka <em>ransomware<\/em> kombinuje algoritme <em>curve25519 <\/em>i <em>eSTREAM cipher hc-128<\/em> uz kori\u0161tenje povremenog \u0161ifrovanja \u2013 prekrivene taktike koja koristi specijalizovane algoritme koji skrivaju svoje pona\u0161anje \u0161ifrovanjem malih dijelova datoteke i naizmjeni\u010dnim izmjenama podataka izme\u0111u sekcija dok preska\u010du druge, \u0161to pove\u0107ava brzinu \u0161ifrovanja.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Kako bi provjerili brzinu \u0161ifrovanja <em>Rorschach ransomware<\/em>-a, sigurnosni istra\u017eiva\u010di su koristili procesor sa \u0161est jezgara za \u0161ifrovanje 220.000 datoteka. Rezultat je bio 4,5 minuta, gdje je do sad najbr\u017eem poznatom <em>ransomware<\/em>-u <em>LockBit v3.0<\/em> bilo potrebno 7 minuta.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><span style=\"font-size: 14pt;\"><strong>Za\u0161tita<\/strong><\/span><\/h5>\n<p><span style=\"font-size: 14pt;\">Za korisnike je va\u017eno odr\u017eavanje jakih mjera <a href=\"https:\/\/sajberinfo.com\/en\/2018\/12\/23\/sajber-bezbjednost\/\" target=\"_blank\" rel=\"nofollow noopener\">sajber bezbjednosti<\/a> za spre\u010davanje napada <em>ransomware<\/em>, kao i potrebu za stalnim pra\u0107enjem novih uzoraka <em>ransomware<\/em> kako bi bili ispred prijetnji koje se razvijaju. Kako raste u\u010destalost i sofisticiranost\u00a0 ovih napada, od su\u0161tinskog je zna\u010daja za organizacije da ostanu budne i proaktivne u svojim naporima da se za\u0161tite od ovih prijetnji. Kompanija <em>Palo Alto Networks<\/em> <a href=\"https:\/\/security.paloaltonetworks.com\/PAN-SA-2023-0002\" target=\"_blank\" rel=\"noopener\">je objavila<\/a> da je upoznata sa zloupotrebom <em>Cortex XDR Dump Service Tool<\/em> komponente i da planiraju da objave a\u017euriranje koje \u0107e rije\u0161iti ovaj problem. Tako\u0111er su izjavili da <em>macOS<\/em> i <em>Linux<\/em> platforme nisu pogo\u0111ene ovim problemom.<\/span><\/p>\n<p>&nbsp;<\/p>\n<h5><strong><span style=\"font-size: 14pt;\">Zaklju\u010dak<\/span><\/strong><\/h5>\n<p><span style=\"font-size: 14pt;\">\u010cini se da <em>Rorschach ransomware<\/em> koristi neke od najboljih zlonamjernih mogu\u0107nosti koje su do sada pokazane u javnosti od strane ostalih <em>ransomware<\/em> porodica, sve zajedno integrisane u jedan zlonamjerni softver. Pored toga, mogu\u0107nost samostalnog kopiranja kod <em>Rorschach ransomware <\/em>je ne\u0161to \u0161to definitivno podi\u017ee granicu mogu\u0107nosti u odnosu na druge <em>ransomware<\/em> porodice.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">Zlonamjerni akteri koji rade na razvoju ovog <em>ransomware<\/em>-a su tako\u0111er primijenili nove tehnike protiv analize i izbjegavanja odbrane kako bi izbjegli otkrivanje i ote\u017eali bezbjednosnom softveru i istra\u017eiva\u010dima da ga analiziraju i ubla\u017ee njegove efekte.<\/span><\/p>\n<p><span style=\"font-size: 14pt;\">U ovom trenutku operateri <em>Rorschach<\/em> <em>ransomware<\/em>-a ostaju nepoznati i nije uo\u010deno reklamiranje ovog <em>ransomware<\/em>-a, a to je ne\u0161to \u0161to se rijetko vi\u0111a na sceni kada se radi o <em>ransomware<\/em> zlonamjernom softveru.<\/span><\/p>","protected":false},"excerpt":{"rendered":"<p>Ransomware Rorschach veoma brzo \u0161ifruje podatke pokazuje izvje\u0161taj sigurnosnih istra\u017eiva\u010da. Novi ransomware Sigurnosni istra\u017eiva\u010di su otkrili novi ransomware koji je nazvan Rorschach, koji cilja poslovne organizacije u SAD. Istra\u017eivanje pokazuje da spada u najbr\u017ee&#46;&#46;&#46;<\/p>","protected":false},"author":1,"featured_media":4605,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[335,334,333,133,332,143],"class_list":["post-4600","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-cortex-xdr","tag-darkside","tag-lockbit","tag-ransomware","tag-rorschach","tag-windows"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4600","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4600"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4600\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4605"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4600"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4600"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4600"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}