Check Point Research, výzkumný tým společnosti Check Point Software Technologies, varuje před novým sofistikovaným ransomwarem Rorschach, který se dokáže skrývat před bezpečnostními řešeními, extrémně rychle zašifruje data a ochromí tak celou organizaci.
Rorschach podle analytiků kombinuje taktiky a techniky jiných ransomwarů, navíc přidává další unikátní funkce, takže se jedná o ultimátní kybernetickou zbraň. Rychlost šifrování je nevídaná, jde o téměř dvojnásobek rychlosti šifrování obávaného ransomware LockBit.
„Stejně jako psychologický Rorschachův test vypadá u každého člověka jinak, tak i tento nový typ ransomwaru mění svou podobu,“ říká Tomáš Růžička, SE team leader z Check Pointu.
„Navíc spojuje nebezpečné funkce používané jinými ransomwary se zcela novými schopnostmi, takže se jedná o nejrychlejší a jeden z nejsofistikovanějších ransomwarů, které jsme dosud viděli,“ varuje.
České organizace by podle Růžičky měly být velmi obezřetné, protože Check Point od začátku roku sleduje nárůst ransomwarových útoků – ve druhé polovině března čelila nějakému vyděračskému útoků dokonce každá 25. česká společnost.
Částečně autonomní hrozba
Check Point informuje, že ransomware Rorschach je částečně autonomní a dokáže se sám šířit, když je spuštěn na řadiči domény. Na napadených počítačích také vymaže protokoly událostí a je mimořádně flexibilní, aby mohl měnit své chování podle potřeb útočníků.
Ačkoli se podle expertů inspiroval některými známými ransomwarovými rodinami, obsahuje i unikátní funkce, které se u ransomwaru vyskytují jen zřídka, jako je například použití přímých systémových volání.
Některé varianty Rorschacha podle analýz odesílají oběti žádost o výkupné, která připomíná vyděračskou zprávu ransomwaru Yanluowang. Jiné varianty zase napodobují vyděračské zprávy ransomwaru DarkSide.
Zákeřnost tkví i systémových voláních
Kyberbezpečnostní odborníci rovněž zjistili, že Rorschach spouští procesy neobvyklým způsobem a komplikuje tak analýzu a odhalení. Navíc dokáže vypnout Windows firewall, mazat zálohy nebo zastavit některé služby.
Přestože se Rorschach používá výhradně k šifrování, obsahuje neobvyklou techniku, která umožňuje obejít obranné mechanismy. Provádí přímá systémová volání pomocí instrukce „syscall“ a i když Check Point něco podobného viděl u jiných malwarů, u ransomwaru je to poměrně překvapivé.
Ransomware Rorschach je podle expertů unikátní také rychlostí šifrování dat. Využívá velmi efektivní hybridní šifrování, které zakóduje pouze určitou část původního souboru. Check Point provedl srovnání s jiným rychlým ransomwarem a Rorschach v testu jednoznačně překonal i nebezpečný ransomware LockBit v.3.
Check Point upozorňuje, že zatím není jasné, kdo za tímto ransomwarem stojí, protože útočníci nepoužívají žádnou značku, což je u podobných operací poměrně vzácné. Analytici nicméně nabádají organizace, aby byly proaktivní a používaly pokročilá preventivní bezpečnostní řešení.
Zdroj: Check Point Software Technologies
