You have not selected any currencies to display

Bl0ckch41nnews#Ransomware Rorschach, el más rápido para cifrar

32


Ha sido detectado el que podría ser el ransomware más rápido de la
historia, es casi el doble de rápido que el famoso malware
LockBit 3.0. Según las
pruebas de velocidad realizadas por Check Point Research (CPR), el nuevo malware, apodado Rorschach, puede cifrar 220.000 archivos locales
en sólo cuatro minutos y medio.

A modo de comparación,
LockBit 3.0
realiza esta tarea en siete minutos. Según la investigación de CPR «Lo que es aún más digno de mención es que el ransomware Rorschach es
altamente personalizable. Ajustando el número de hilos de cifrado mediante
el argumento de la línea de comandos, puede conseguir tiempos aún más
rápidos»

Aparte de su preocupante eficacia, Rorschach es notable porque contiene
elementos conocidos públicamente tomados del código fuente filtrado de otras
cepas de ransomware. Y, curiosamente, los operadores detrás de Rorschach no
emplean un alias, ni marcan sus mercancías, algo muy poco común de ver en el
mundo del ransomware, donde la reputación importa y la autopromoción es moneda
corriente.

El resultado es una variedad de malware abierta a la interpretación en cuanto
a quiénes son sus operadores y dónde encaja en el ecosistema, de ahí su
nombre.

«Del mismo modo que un test psicológico de Rorschach parece diferente para
cada persona, este nuevo tipo de ransomware tiene un alto nivel de
características técnicamente distintas tomadas de diferentes familias de
ransomware, lo que lo hace especial y diferente de otras familias de
ransomware»
, afirma Sergey Shykevich, director del grupo de inteligencia de amenazas de
CPR.

Los aspectos Frankenstein presentes en el malware incluyen:

  • Realización autónoma de tareas que suelen ser manuales en las cepas de
    ransomware, como la creación de una política de grupo de dominio (LockBit 2.0);
  • Un esquema de criptografía híbrida que es la base de su velocidad de cifrado
    (Babuk);
  • Notas de rescate que se inspiran en gran medida en ransomwares anteriores
    (DarkSide
    y
    Yanluowang);
  • La lista de servicios que deben detenerse en la configuración de Rorschach
    (Babuk);
  • La lista de idiomas utilizados para detener el malware (LockBit 2.0);
  • Y, el método I/O Completion Ports de thread (LockBit 2.0).

Elementos de codificación únicos de Rorschach

Rorschach también añade su propia salsa especial a los procedimientos de
infección. Por ejemplo, CPR descubrió que se estaba desplegando en EE.UU.
utilizando
DLL de carga lateral
y una versión antigua de la herramienta Cortex XDR Dump Service de Palo Alto
Networks (PAN).

También hace uso de «Syscalls» directas para inyectar silenciosamente
código malicioso en otros procesos, lo que los investigadores de CPR
calificaron de «sorprendente», ya que la técnica es extremadamente rara en el
ecosistema del ransomware.
«La implementación de este tipo de mecanismos hace mucho más difícil
detectar el ransomware»
.

También es notable que es parcialmente autónomo, lo que significa que puede
abrirse camino a través de un entorno sin la interacción del usuario.
«Se propaga automáticamente cuando se ejecuta en un controlador de dominio
(DC), al tiempo que borra los registros de eventos de las máquinas
afectadas. Además, es extremadamente flexible, operando no sólo en base a
una configuración incorporada, sino también a numerosos argumentos
opcionales que le permiten cambiar su comportamiento según las necesidades
del operador».

En definitiva,
«Rorschach sube el vara de los ataques de ransomware. Este es el
ransomware más rápido y uno de los más sofisticados que hemos visto hasta
ahora»
, afirma Shykevich. Esto habla de la naturaleza rápidamente cambiante de los
ciberataques y de la necesidad de que las empresas desplieguen una solución
que dé prioridad a la prevención y que pueda impedir que Rorschach cifre sus
datos.

Fuente: DarkReading



Source link

Los comentarios están cerrados.