Check Point: Nový ransomware Rorschach ohrožuje i české organizace

11. 4. 2023
Doba čtení: 2 minuty

Sdílet

 Autor: Depositphotos
Rorschach je podle analytiků částečně autonomní a provádí i úkoly, které je obvykle nutné dělat při útoku manuálně. Navíc je velmi flexibilní a disponuje technicky unikátními funkcemi.

Check Point Research, výzkumný tým společnosti Check Point Software Technologies, varuje před novým sofistikovaným ransomwarem Rorschach, který se dokáže skrývat před bezpečnostními řešeními, extrémně rychle zašifruje data a ochromí tak celou organizaci.

Rorschach podle analytiků kombinuje taktiky a techniky jiných ransomwarů, navíc přidává další unikátní funkce, takže se jedná o ultimátní kybernetickou zbraň. Rychlost šifrování je nevídaná, jde o téměř dvojnásobek rychlosti šifrování obávaného ransomware LockBit.

Stejně jako psychologický Rorschachův test vypadá u každého člověka jinak, tak i tento nový typ ransomwaru mění svou podobu,“ říká Tomáš Růžička, SE team leader z Check Pointu.

Navíc spojuje nebezpečné funkce používané jinými ransomwary se zcela novými schopnostmi, takže se jedná o nejrychlejší a jeden z nejsofistikovanějších ransomwarů, které jsme dosud viděli,“ varuje.

České organizace by podle Růžičky měly být velmi obezřetné, protože Check Point od začátku roku sleduje nárůst ransomwarových útoků – ve druhé polovině března čelila nějakému vyděračskému útoků dokonce každá 25. česká společnost.

Částečně autonomní hrozba

Check Point informuje, že ransomware Rorschach je částečně autonomní a dokáže se sám šířit, když je spuštěn na řadiči domény. Na napadených počítačích také vymaže protokoly událostí a je mimořádně flexibilní, aby mohl měnit své chování podle potřeb útočníků.

Ačkoli se podle expertů inspiroval některými známými ransomwarovými rodinami, obsahuje i unikátní funkce, které se u ransomwaru vyskytují jen zřídka, jako je například použití přímých systémových volání.

Některé varianty Rorschacha podle analýz odesílají oběti žádost o výkupné, která připomíná vyděračskou zprávu ransomwaru Yanluowang. Jiné varianty zase napodobují vyděračské zprávy ransomwaru DarkSide.

Zákeřnost tkví i systémových voláních

Kyberbezpečnostní odborníci rovněž zjistili, že Rorschach spouští procesy neobvyklým způsobem a komplikuje tak analýzu a odhalení. Navíc dokáže vypnout Windows firewall, mazat zálohy nebo zastavit některé služby.

Přestože se Rorschach používá výhradně k šifrování, obsahuje neobvyklou techniku, která umožňuje obejít obranné mechanismy. Provádí přímá systémová volání pomocí instrukce „syscall“ a i když Check Point něco podobného viděl u jiných malwarů, u ransomwaru je to poměrně překvapivé.

Ransomware Rorschach je podle expertů unikátní také rychlostí šifrování dat. Využívá velmi efektivní hybridní šifrování, které zakóduje pouze určitou část původního souboru. Check Point provedl srovnání s jiným rychlým ransomwarem a Rorschach v testu jednoznačně překonal i nebezpečný ransomware LockBit v.3.

bitcoin školení listopad 24

Check Point upozorňuje, že zatím není jasné, kdo za tímto ransomwarem stojí, protože útočníci nepoužívají žádnou značku, což je u podobných operací poměrně vzácné. Analytici nicméně nabádají organizace, aby byly proaktivní a používaly pokročilá preventivní bezpečnostní řešení.

Zdroj: Check Point Software Technologies

Čtěte dále

Mastercard: Česká ekonomika příští rok zrychlí růst na 2,6 procenta
Mastercard: Česká ekonomika příští rok zrychlí růst na 2,6 procenta
GFI Software: Firmy chybně identifikují svá kritická IT aktiva
GFI Software: Firmy chybně identifikují svá kritická IT aktiva
Eset: Hrozbou číslo jedna pro české počítače je spyware Formbook
Eset: Hrozbou číslo jedna pro české počítače je spyware Formbook
Zaostřeno na storage: Odpovídá Igor Cejkovský (Synology)
Zaostřeno na storage: Odpovídá Igor Cejkovský (Synology)
Entec Solutions představuje xFusion pro extra výkon
Entec Solutions představuje xFusion pro extra výkon
Putování komponentů. Jak funguje robotický centrální sklad EET Group v Kodani
Putování komponentů. Jak funguje robotický centrální sklad EET Group v Kodani