Новости Новый шифровальщик Rorschach назван самым быстрым на текущий момент

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.379
Репутация
11.800
Реакции
62.047
RUB
50
Аналитики из компании Check Point новую вымогательскую малварь Rorschach, которая уже использовалась для атаки на неназванную американскую компанию.

Этот вредонос отличается крайне высокой скоростью шифрования файлов, и тем, что его развертывание происходит с помощью подписанного компонента коммерческого защитного ПО.

Check Point называет эту угрозу «одним из самых быстрых программ-вымогателей», так как Rorschach работает даже быстрее, чем LockBit 3.0.

Исследователи рассказывают, что шифровальщик доставляется с помощью техники боковой загрузки DLL (side-loading DLL) через подписанный компонент в Cortex XDR в продукте Palo Alto Networks. Злоумышленники использовали Cortex XDR Dump Service Tool (cy.exe) версии 7.3.0.16740 для загрузки загрузчика и инжектора Rorschach (winutils.dll), что привело к запуску полезной нагрузки вымогателя config.ini в процесс Notepad.

Схема атаки
Отмечается, что файл загрузчика имеет защиту от анализа в стиле UPX, тогда как основная полезная нагрузка защищена от реверс инжиниринга и обнаружения за счет виртуализации частей кода с помощью VMProtect.

Эксперты Check Point предупреждают, что шифровальщик создает групповую политику на контроллере домена Windows и может самостоятельно распространяться на другие хосты в домене.

После компрометации компьютера жертвы малварь стирает четыре журналы Application, Security, System и Windows Powershell, чтобы замести свои следы.

Хотя в целом конфигурация Rorschach жестко закодирована, шифровальщик поддерживает аргументы командной строки, которые заметно расширяют его функциональность. Ниже приведены некоторые из них.



Rorschach начнет шифрование данных лишь в том случае, если зараженная машина работает не на языке любой из стран СНГ. Схема шифрования сочетает в себе алгоритмы curve25519 и eSTREAM hc-128, используя прерывистое шифрование, то есть вредонос шифрует файлы только частично, что увеличивает скорость его работы.


Языки, останавливающие работу малвари

Исследователи отмечают, что процедура шифрования Rorschach демонстрирует «высокоэффективную имплементацию распределения потоков через порты завершения ввода-вывода».

Чтобы определить скорость шифрования Rorschach, эксперты провели тест с использованием 220 000 файлов на машине с 6-ядерным процессором. Малвари потребовалось 4,5 минуты для шифрования данных, в то время как LockBit 3.0, до недавнего времени считавшийся самым быстрым вымогателем, завершил ту же задачу за 7 минут.

Check Point резюмирует, что Rorschach, похоже, вобрал в себя лучшие функции некоторых ведущих программ-вымогателей, ранее утекших в сеть (Babuk, LockBit 2.0, DarkSide).

 
Сверху Снизу