Sommario
Gli esperti di cybersecurity hanno scoperto una nuova variante di ransomware chiamata Rorschach, caratterizzata da sofisticatezza e velocità di esecuzione.
Caratteristiche uniche di Rorschach
Secondo un nuovo rapporto di Check Point Research, Rorschach si distingue dagli altri ransomware per il suo alto livello di personalizzazione e le sue caratteristiche tecnicamente uniche mai viste prima. Rorschach è considerato uno dei ransomware più veloci mai osservati in termini di velocità di crittografia.
Collegamenti con altri ransomware
L’analisi del codice sorgente di Rorschach rivela somiglianze con i ransomware Babuk e LockBit 2.0. Inoltre, i messaggi di riscatto inviati alle vittime sembrano ispirarsi a quelli di Yanluowang e DarkSide.
Tecniche avanzate di evasione
L’aspetto più significativo dell’intrusione è l’uso di una tecnica chiamata DLL side-loading per caricare il payload del ransomware, un metodo raramente osservato in tali attacchi. Questo segna una nuova sofisticazione nei metodi adottati dai gruppi a scopo di lucro per eludere il rilevamento. In particolare, si dice che il ransomware sia stato distribuito sfruttando lo strumento Cortex XDR Dump Service Tool di Palo Alto Networks per caricare una libreria denominata “winutils.dll”.
Personalizzazione e velocità del ransomware
Una caratteristica unica di Rorschach è la sua natura altamente personalizzabile e l’uso di syscalls dirette per manipolare i file ed eludere i meccanismi di difesa. Il ransomware è anche incaricato di terminare una lista predefinita di servizi, eliminare volumi shadow e backup, cancellare i log degli eventi di Windows per cancellare le tracce forensi, disabilitare il firewall di Windows e persino cancellarsi dopo aver completato le sue azioni.
Un’avvertenza per il futuro degli attacchi ransomware
Gli sviluppatori di Rorschach hanno implementato nuove tecniche anti-analisi ed evasione della difesa per evitare il rilevamento e rendere più difficile l’analisi e la mitigazione degli effetti da parte dei ricercatori e dei software di sicurezza. “Inoltre, Rorschach sembra aver preso alcune delle migliori caratteristiche da alcuni dei principali ransomware trapelati online e li ha integrati insieme, aumentando il livello di pericolosità degli attacchi ransomware”, concludono i ricercatori.