Nový agresivní ransomware Rorschach bleskově zašifruje data a ochromí organizace
06.04.2023
Nový agresivní ransomware Rorschach bleskově zašifruje data a ochromí organizace
  • Ransomware Rorschach se odlišuje od všech známých ransomwarových kmenů a nelze ho spojit ani s žádnou známou hackerskou skupinou.
  • Rorschach je částečně autonomní a provádí i úkoly, které je obvykle nutné dělat při útoku manuálně. Navíc je velmi flexibilní a disponuje technicky unikátními funkcemi, jako je přímé systémové volání, které se u ransomwaru vyskytují jen ojediněle. Jedná se také o nejrychleji šifrující ransomware.
  • Rorschach k útoku použil techniku DLL side-loading v bezpečnostním produktu Cortex XDR Dump Service Tool společnosti Palo Alto Networks, což je pro ransomware neobvyklé. Společnost Palo Alto Networks byla o zranitelnosti informována.

Check Point Research varuje před novým sofistikovaným ransomwarem Rorschach, který se dokáže skrývat před bezpečnostními řešeními, extrémně rychle zašifruje data a ochromí tak celou organizaci. Rorschach kombinuje taktiky a techniky jiných ransomwarů, navíc přidává další unikátní funkce, takže se jedná o ultimátní kybernetickou zbraň. Rychlost šifrování je nevídaná, jde o téměř dvojnásobek rychlosti šifrování obávaného ransomware LockBit.

„Stejně jako psychologický Rorschachův test vypadá u každého člověka jinak, tak i tento nový typ ransomwaru mění svou podobu. Navíc spojuje nebezpečné funkce používané jinými ransomwary se zcela novými schopnostmi, takže se jedná o nejrychlejší a jeden z nejsofistikovanějších ransomwarů, které jsme dosud viděli. České organizace by měly být velmi obezřetné, protože od začátku roku sledujeme nárůst ransomwarových útoků, ve druhé polovině března čelila nějakému vyděračskému útoků dokonce každá 25. česká společnost. S novými hrozbami, jako je Rorschach, se riziko ještě násobí. Organizace proto musí nasadit pokročilá preventivní řešení,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.

Rorschach byl použit například k útoku na americkou společnost, kde využil slabinu v komponentě známého bezpečnostního produktu. Útočníci se na rozdíl od jiných případů neskrývali za žádnou přezdívkou a zdá se, že ransomware není napojen ani na žádnou ze známých ransomwarových skupin.

Ransomware Rorschach je částečně autonomní a dokáže se sám šířit, když je spuštěn na řadiči domény. Na napadených počítačích také vymaže protokoly událostí a je mimořádně flexibilní, aby mohl měnit své chování podle potřeb útočníků. Ačkoli se inspiroval některými známými ransomwarovými rodinami, obsahuje i unikátní funkce, které se u ransomwaru vyskytují jen zřídka, jako je například použití přímých systémových volání.

Některé varianty Rorschacha odesílají oběti žádost o výkupné, která připomíná vyděračskou zprávu ransomwaru Yanluowang. Ale jiné varianty napodobují vyděračské zprávy ransomwaru DarkSide. Zkrátka každý, kdo ransomware Rorschach zkoumal, viděl něco trochu jiného, proto byl tento ransomware pojmenován právě podle slavného psychologického testu.


Jedna z variant žádosti o výkupné, kterou oběti zobrazí ransomware Rorschach

Rorschach spouští procesy neobvyklým způsobem a komplikuje tak analýzu a odhalení. Navíc dokáže vypnout Windows firewall, mazat zálohy nebo zastavit některé služby.

Přestože se Rorschach používá výhradně k šifrování, obsahuje neobvyklou techniku, která umožňuje obejít obranné mechanismy. Provádí přímá systémová volání pomocí instrukce „syscall“ a i když jsme něco podobného viděli u jiných malwarů, u ransomwaru je to poměrně překvapivé.

Před zašifrováním systému provede Rorschach také systémovou kontrolu, která může útok zastavit:

  • Používá funkce GetSystemDefaultUILanguage a GetUserDefaultUILanguage, aby zjistil, jaký jazyk uživatel používá.
  • Útok se ukončí, pokud je se jedná o jazyk běžně používaný ve Společenství nezávislých států, kam patří Arménie, Ázerbájdžán, Bělorusko, Kazachstán, Kyrgyzstán, Rusko, Tádžikistán a Uzbekistán.

Ransomware Rorschach je unikátní také rychlostí šifrování dat. Využívá velmi efektivní hybridní šifrování, které zakóduje pouze určitou část původního souboru. Check Point provedl srovnání s jiným rychlým ransomwarem a Rorschach v testu jednoznačně překonal i nebezpečný ransomware LockBit v.3.

RansomwarePrůměrná doba šiffrování
LockBit v.37 minut
Rorschach4 minuty a 30 sekund

Rorschach je nová, extrémně nebezpečná hrozba. Dokáže se maskovat a vyhnout detekci a spojuje to nejlepší z různých ransomwarů, k čemuž přidává i další unikátní funkce. Dokáže sám šířit a tím zvyšuje laťku nebezpečnosti vyděračských útoků. Zatím není jasné, kdo za tímto ransomwarem stojí, protože útočníci nepoužívají žádnou značku, což je u podobných operací poměrně vzácné.

Je proto důležitější více než kdy dříve, aby organizace byly proaktivní a používaly pokročilá preventivní bezpečnostní řešení, která je ochrání i před sofistikovanými útoky.

Více informací najdete v analýze výzkumného týmu Check Point Research:

https://research.checkpoint.com/2023/rorschach-a-new-sophisticated-and-fast-ransomware/