Pesquisadores revelam o Rorschach, um ransomware inédito, evasivo e o mais rápido de todos os tempos
A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, detectou um novo ransomware sofisticado, evasivo e extremamente rápido o qual denominaram “Rorschach”. Ele criptografa quase duas vezes mais rápido que o LockBit, por exemplo. Mais sofisticado que o ransomware tradicional, o Rorschach combina táticas de vários ataques conhecidos, além de novos recursos exclusivos para causar o máximo de dano possível e evasão de soluções de segurança cibernética.
O apelido dado ao novo ransomware se refere ao teste de Rorschach (popularmente conhecido como “teste do borrão de tinta”) que é uma técnica de avaliação psicológica pictórica. Curiosamente, o ransomware Rorschach foi implantado usando a vulnerabilidade de carregamento lateral de DLL de um produto de segurança comercial assinado. A CPR notificou a Palo Alto Networks sobre a vulnerabilidade em seu produto.
Segundo os pesquisadores, ele ganhou este nome porque, assim como um teste psicológico de Rorschach parece diferente para cada pessoa, esse novo tipo de ransomware tem recursos tecnicamente distintos de alto nível retirados de diferentes famílias de ransomware, tornando-o especial e diferente de outras famílias de ransomware.
Velocidade nunca vista e características pouco comuns em ransomware
A CPR diz que este é o ransomware mais rápido e sofisticado que encontrou até agora. Para se ter uma noção da velocidade de criptografar, nos cinco testes realizados pelos pesquisadores em um ambiente controlado, o Rorschach precisou apenas de 4 minutos e meio para controlar seis CPUs de 8.192 MB de RAM SSD e 220 mil arquivos a serem criptografados).
Ao longo da análise da equipe da CPR, o novo ransomware exibiu características únicas. Uma análise comportamental do novo ransomware sugere que ele é parcialmente autônomo, espalhando-se automaticamente quando executado em um controlador de domínio (DC), enquanto limpa os logs (registros) de eventos das máquinas afetadas.
Além disso, é extremamente flexível, operando não apenas com base em uma configuração integrada, mas também em inúmeros argumentos opcionais que permitem alterar seu comportamento de acordo com as necessidades do operador.
Como foi encontrado
Ao responder a um caso de ransomware contra uma empresa norte-americana, a equipe da Check Point encontrou recentemente uma variedade única de ransomware implantada usando um componente assinado de um produto de segurança comercial.
Ao contrário de outros casos de ransomware, o atacante não se escondeu atrás de nenhum codinome e parece não ter afiliação com nenhum dos grupos de ransomware conhecidos. Esses dois fatos, raridades no ecossistema de ransomware, despertaram o interesse dos pesquisadores da CPR e os levaram a analisar minuciosamente o malware recém-descoberto.
A nota de ransomware enviada à vítima foi formatada de forma semelhante às notas de ransomware Yanluowang, embora outras variantes tenham apresentado uma nota que mais se assemelhava às notas de ransomware do DarkSide (fazendo com que algumas se referissem erroneamente a ela como DarkSide). Cada pessoa que examinava o ransomware viu algo um pouco diferente, o que nos levou a dar-lhe o nome do famoso teste psicológico: Rorschach Ransomware.
Nos últimos dias, a equipe CPR começou a ver os primeiros indícios de que também existe uma versão do Rorschach que ataca sistemas operacionais adicionais, além do Windows. Ainda não é possível comprovar que outros sistemas também podem ser alvo.
Participe das comunidades IPNews no Instagram, Facebook, LinkedIn e Twitter.