Hakeri su implementovali novi, jedinstveni soj ransomware-a koristeći Palo Alto Cortex XDR Dump Service Tool, komercijalni sigurnosni proizvod.
Nazvan Rorschach, maliciozni softver su otkrili Check Point Research (CPR) i Check Point Incident Response Team (CPIRT) i o njemu se raspravljalo u savjetodavnom izdavaču.
„Za razliku od drugih slučajeva ransomware-a, haker se nije skrivao iza bilo kakvog pseudonima i čini se da nije povezan ni sa jednom od poznatih grupa za ransomware” napisali su Jiri Vinopal iz CPR-a, Dennis Yarizadeh i Gil Gekker.
“Te dvije činjenice, rijetkost u ekosistemu ransomware-a, izazvale su interesovanje CPR-a i potakle nas da temeljno analiziramo novootkriveni maliciozni softver.”
Ransomware ima sposobnost samoreplikacije kada se izvrši na kontroleru domene (DC). Takođe je primijećeno brisanje dnevnika događaja zaraženih uređaja.
„Pored toga, izuzetno je fleksibilan, ne radi samo na osnovu ugrađene konfiguracije, već i na brojnim opcionim argumentima koji mu omogućavaju da promeni svoje ponašanje u skladu sa potrebama operatera“ napisao je CPR tim u savjetu.
“Iako se čini da je inspirisan nekim od najozloglašenijih porodica ransomware-a, on takođe sadrži jedinstvene funkcionalnosti, rijetko viđene među ransomware-om, kao što je korištenje direktnih syscall-a.”
Jedna od sličnosti sa postojećim porodicama ransomware-a je formatovanje bilješke o otkupnini, koja u nekim slučajevima podsjeća na Yanluowang ransomware i DarkSide u drugim.
„Baš kao što psihološki Rorschach test za svaku osobu izgleda drugačije, ovaj novi tip ransomware-a ima visoke, tehnički različite karakteristike preuzete iz različitih porodica ransomware-a, što ga čini posebnim i drugačijim od drugih porodica ransomwarea“ objasnio je Sergey Shykevich, menadžer grupe za obavještavanje o prijetnjama u CPR.
Prema riječima stručnjaka za bezbjednost, Rorschach je najbrži i jedan od najrazrađenijih ransomware-a s kojima se kompanija susrela.
“To govori o brzom mijenjanju prirode kibernetičkih napada i o potrebi da kompanije uvedu prvo preventivno rešenje koje može spriječiti Rorschach-a da šifruje njihove podatke” zaključio je Shykevich.
CPR savjet dolazi nekoliko sedmica nakon što je CISA objavila svoj novi pilot program upozorenja o ranjivosti od ransomware-a (RVWP).
Izvor: Infosecurity Magazine
