Check Point Research (CPR) detectó un nuevo ransomware sofisticado, evasivo y extremadamente rápido. Apodado Rorschach por Check Point Research, es más sofisticado que el ransomware tradicional y combina tácticas de múltiples ataques conocidos más nuevas características únicas, para maximizar el daño y la evasión de las soluciones de ciberseguridad.
Así como una prueba psicológica de Rorschach se ve diferente para cada persona, este nuevo tipo de ransomware tiene altos niveles de características técnicamente distintas tomadas de diferentes familias de ransomware, lo que lo hace especial y diferente de otros. Este es el ransomware más rápido y uno de los más sofisticados que hemos visto hasta ahora", destaca Sergey Shykevich, Gerente del Grupo de Inteligencia de Amenazas en Check Point Research. Y agrega: "Habla de la naturaleza rápidamente cambiante de los ataques cibernéticos y de la necesidad de que las empresas implementen una solución de prevención que pueda evitar que Rorschach cifre sus datos.
Curiosamente, Rorschach se implementó mediante la carga lateral de DLL de la herramienta de servicio de volcado Cortex XDR de Palo Alto Network, un producto de seguridad comercial firmado. Este método de carga no se usa comúnmente para cargar ransomware y, por lo tanto, revela un nuevo enfoque adoptado por los ciberdelincuentes para evadir la detección. La vulnerabilidad que permitió el despliegue de Rorschach fue debidamente comunicada a Palo Alto Networks.
Un análisis de comportamiento del nuevo ransomware sugiere que es parcialmente autónomo y se propaga automáticamente cuando se ejecuta en un controlador de dominio (DC) mientras borra los registros de eventos de las máquinas afectadas. Además, es extremadamente flexible, operando no solo en base a una configuración incorporada, sino también a numerosos argumentos opcionales que le permiten cambiar su comportamiento de acuerdo con las necesidades del operador. Si bien parece haberse inspirado en algunas de las familias de ransomware más peligrosas, también contiene funcionalidades únicas, que rara vez se ven entre los ransomware, como el uso de llamadas directas al sistema.
En el caso detectado, la nota de ransomware enviada a la víctima tenía un formato similar a las notas de ransomware de Yanluowang, aunque otras variantes dejaron caer una que se parecía más a las notas de ransomware DarkSide (lo que provocó que algunos se refirieran erróneamente a ella como DarkSide). Cada persona que examinó el ransomware vio algo un poco diferente, lo que llevó a Check Point a nombrarlo en honor a la famosa prueba psicológica: Rorschach Ransomware.