Gli specialisti di Check Point Software hanno identificato un nuovo tipo di ransomware durante l'indagine su un attacco informatico che ha colpito un'impresa statunitense. Denominato Rorschach, questo malware presenta caratteristiche uniche, tra cui una velocità di crittografia eccezionalmente rapida.
Rorschach: un ransomware parzialmente autonomo e personalizzabile
Il ransomware Rorschach è in parte autonomo e può propagarsi automaticamente se eseguito su un controller di dominio. Inoltre, è estremamente versatile, poiché dispone di una configurazione preimpostata, ma può anche essere adattato a seconda di specifici requisiti.
Gli autori di Rorschach utilizzano il Dump Service Tool di Cortex XDR, un prodotto di sicurezza di Palo Alto Network, per caricare il file winutils.dll attraverso il side-loading DLL. La DLL funge da loader per il ransomware, che viene in seguito iniettato nel processo notepad.exe dal file config.ini.
Rorschach: processo di attacco e cifratura dei file
Il malware termina vari servizi, elimina le copie shadow dei volumi, disabilita il firewall di Windows e rimuove i log di Application, Security, System e Windows Powershell al fine di celare le sue tracce. Se lanciato su un controller di dominio, Rorschach crea una politica di gruppo per diffondersi su altri computer del dominio e aggiunge un'attività programmata per l'avvio.
La crittografia dei file avviene tramite una combinazione degli algoritmi curve25519 e eSTREAM cipher hc-128. Come dimostrato dai test condotti da Check Point Software su 220.000 file, il processo di criptazione è completato in soli 4 minuti e 30 secondi, rendendo Rorschach il ransomware più veloce al mondo.
Dopo la cifratura, viene copiato un file di testo contenente le istruzioni per il pagamento del riscatto da un milione di dollari.
L'azienda statunitense colpita dal ransomware non è stata nominata nell'articolo. Si sottolinea inoltre che questo articolo contiene collegamenti di affiliazione; eventuali acquisti o ordini effettuati attraverso tali collegamenti permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.