Ekspertët e Chech Point Software zbuluan një ransomware të ri ndërsa analizonin një sulm kibernetik të pësuar nga një kompani amerikane. Rorschach, ky është emri i zgjedhur, nuk rrjedh nga ndonjë ransomware i njohur, ofron veçori unike dhe mbi të gjitha mund të konsiderohet ransomware me enkriptimin më të shpejtë në botë.
Rorschach: rekord shpejtësie
Ransomware zakonisht instalohet në kompjuterët e viktimave në fund të zinxhirit të infeksionit. Megjithatë, Rorschach është pjesërisht i pavarur dhe mund të përhapet vetë kur ekzekutohet në një kontrollues domeni. Është gjithashtu shumë fleksibël, pasi ka një konfigurim të paracaktuar, por gjithashtu mund të personalizohet sipas parametrave specifikë.
Autorët e ransomware shfrytëzojnë Veglën e Shërbimit Dump të Cortex XDR, një produkt sigurie i Rrjetit Palo Alto, për të ngarkuar skedarin winutils.dll në memorie nëpërmjet DLL-ve me ngarkim anësor. DLL është ngarkuesi Rorschach. Më pas, ransomware injektohet në procesin notepad.exe nga skedari config.ini.
Malware përfundon disa shërbime, fshin kopjet hije të volumit, çaktivizon Windows Firewall dhe pastron regjistrat e aplikacioneve, sigurisë, sistemit dhe Windows Powershell për të fshehur gjurmët. Kur ekzekutohet në një kontrollues domeni, ransomware krijon një politikë grupi për përhapjen në kompjuterë të tjerë në domen dhe shton një detyrë të planifikuar për t’u ekzekutuar në fillim.
Një kombinim i algoritmeve curve25519 dhe eSTREAM shifror hc-128 përdoret për të enkriptuar skedarët. Sipas testeve të Check Point Software me 220,000 skedarë, kriptimi përfundon në 4 minuta e 30 sekonda, duke e bërë Rorschach aktualisht ransomware-in më të shpejtë në botë (LockBit 3.0 i mirënjohur zgjat 7 minuta).
Discussion about this post