Ao responder a uma solicitação de suporte a um ataque de ransomware contra uma empresa com sede nos Estados Unidos, a Equipe de Resposta a Incidentes da Check Point (CPIRT) e a divisão Check Point Research (CPR) descobriram um novo malware ransomware, o qual apelidaram de Rorschach, que é único, sem compartilhar sobreposições que possam facilmente atribuí-lo a qualquer variedade conhecida de ransomware; é bastante sofisticado, altamente personalizável e contém recursos tecnicamente únicos.
Ransomware Rorschach
O ransomware foi implantado e executado nas máquinas das vítimas usando um produto de segurança comercial assinado, o que lhes permitiu contornar as detecções de outras soluções de segurança (técnica chamada DLL side loading). Esse novo ransomware criptografa quase duas vezes mais rápido que o LockBit. Mais sofisticado que o ransomware tradicional, o Rorschach combina táticas de vários ataques conhecidos, além de novos recursos exclusivos para causar o máximo de dano possível e evasão de soluções de segurança cibernética.
O apelido dado ao novo ransomware se refere ao teste de Rorschach (popularmente conhecido como “teste do borrão de tinta”) que é uma técnica de avaliação psicológica pictórica, comumente denominada de teste projetivo ou mais recentemente de método de autoexpressão.
Curiosamente, o ransomware Rorschach foi implantado usando a vulnerabilidade de carregamento lateral de DLL de um produto de segurança comercial assinado. A CPR notificou a Palo Alto Networks sobre a vulnerabilidade em seu produto.
Velocidade nunca vista e características pouco comuns em ransomware
A Check Point Research (CPR) e o Check Point Incident Response Team (CPIRT) encontraram uma cepa de ransomware anteriormente sem nome, que denominaram de Rorschach, implantada contra uma empresa com sede nos Estados Unidos.
Ao responder a um caso de ransomware contra essa empresa, o CPIRT encontrou recentemente uma variedade única de ransomware implantada usando um componente assinado de um produto de segurança comercial.
Notícias Relacionadas
Ao contrário de outros casos de ransomware, o atacante não se escondeu atrás de nenhum alias e parece não ter afiliação com nenhum dos grupos de ransomware conhecidos. Esses dois fatos, raridades no ecossistema de ransomware, despertaram o interesse dos pesquisadores da CPR e os levaram a analisar minuciosamente o malware recém-descoberto.
A nota de ransomware enviada à vítima foi formatada de forma semelhante às notas de ransomware Yanluowang, embora outras variantes tenham apresentado uma nota que mais se assemelhava às notas de ransomware do DarkSide. Cada pessoa que examinava o ransomware viu algo um pouco diferente, o que nos levou a dar-lhe o nome do famoso teste psicológico: Rorschach Ransomware.
Embora pareça ter se inspirado em algumas das famílias de ransomware mais infames, o Rorschach também contém funcionalidades exclusivas, raramente vistas entre os ransomware, como o uso de syscalls diretos. No passado, uma funcionalidade semelhante estava vinculada ao LockBit 2.0.
imagem: CHECK POINT
Em resumo, a análise da CPR do Rorschach revelou o surgimento de uma nova variedade de ransomware no cenário do crimeware. Seus desenvolvedores implementaram novas técnicas de antianálise e evasão de defesa para evitar a detecção e tornar mais difícil para o software de segurança e pesquisadores analisarem e mitigarem seus efeitos.
Além disso, Rorschach parece ter tomado alguns dos “melhores” recursos de alguns dos principais ransomwares vazados online e os integrados, todos juntos. Além dos recursos de autopropagação do Rorschach, isso aumenta o nível de ataques de resgate. Os operadores e desenvolvedores do ransomware Rorschach permanecem desconhecidos. Eles não usam branding, o que é relativamente raro em operações de ransomware.
As descobertas dos pesquisadores da Check Point Software ressaltam a importância de se manter fortes medidas de segurança cibernética para evitar ataques de ransomware, bem como a necessidade de monitoramento e análise contínuos de novas amostras de ransomware para ficar à frente das ameaças em evolução.
