Sau một cuộc tấn công mạng vào một công ty có trụ sở tại Hoa Kỳ, các nhà nghiên cứu phần mềm độc hại đã phát hiện ra thứ dường như là một chủng ransomware mới với "các tính năng độc đáo về mặt kỹ thuật" mà họ đặt tên là Rorschach.
Trong số các khả năng quan sát được là tốc độ mã hóa, theo các thử nghiệm từ các nhà nghiên cứu, sẽ khiến Rorschach trở thành mối đe dọa ransomware nhanh nhất hiện nay.
Các nhà phân tích phát hiện ra rằng tin tặc đã triển khai phần mềm độc hại trên mạng nạn nhân sau khi tận dụng điểm yếu trong công cụ phát hiện mối đe dọa và ứng phó sự cố.
Các nhà nghiên cứu tại công ty an ninh mạng Check Point, phản hồi sự cố tại một công ty ở Hoa Kỳ, đã phát hiện ra rằng Rorschach đã được triển khai bằng kỹ thuật tải bên DLL thông qua một thành phần đã ký trong Cortex XDR, sản phẩm phát hiện và phản hồi mở rộng từ Palo Alto Networks.
Kẻ tấn công đã sử dụng Công cụ dịch vụ kết xuất Cortex XDR ( cy.exe ) phiên bản 7.3.0.16740 để tải xuống trình tải và trình tiêm Rorschach ( winutils.dll ), dẫn đến khởi chạy tải trọng ransomware, “config.ini,” vào một quy trình Notepad.
Tệp trình tải có tính năng bảo vệ chống phân tích kiểu UPX, trong khi tải trọng chính được bảo vệ chống kỹ thuật đảo ngược và phát hiện bằng cách ảo hóa các phần của mã bằng phần mềm VMProtect.
Điểm kiểm tra báo cáo rằng Rorschach tạo Chính sách nhóm khi được thực thi trên Bộ điều khiển miền Windows để truyền tới các máy chủ khác trên miền.
Sau khi xâm phạm máy, phần mềm độc hại sẽ xóa bốn nhật ký sự kiện (Ứng dụng, Bảo mật, Hệ thống và Windows Powershell) để xóa sạch dấu vết của nó.
Chuỗi tấn công
Mặc dù đi kèm với cấu hình được mã hóa cứng, Rorschach hỗ trợ các đối số dòng lệnh giúp mở rộng chức năng.
Check Point lưu ý rằng các tùy chọn bị ẩn và không thể truy cập được nếu không có kỹ thuật đảo ngược phần mềm độc hại. Dưới đây là một số lập luận mà các nhà nghiên cứu đã phát hiện ra:
Đối số được giải mã bởi Check Point
Rorschach sẽ chỉ bắt đầu mã hóa dữ liệu nếu máy nạn nhân được định cấu hình bằng ngôn ngữ bên ngoài Cộng đồng các quốc gia độc lập ( CIS ).
Lược đồ mã hóa kết hợp các thuật toán hc-128 của mã hóa đường cong25519 và eSTREAM và tuân theo xu hướng mã hóa không liên tục , nghĩa là nó chỉ mã hóa một phần các tệp, giúp tăng tốc độ xử lý.
Lược đồ mã hóa Rorschach
Các nhà nghiên cứu lưu ý rằng quy trình mã hóa của Rorschach cho thấy "việc triển khai lập lịch luồng hiệu quả cao thông qua các cổng hoàn thành I/O."
Để tìm hiểu tốc độ mã hóa của Rorschach, Check Point đã thiết lập một bài kiểm tra với 220.000 tệp trên máy CPU 6 nhân.
Rorschach mất 4,5 phút để mã hóa dữ liệu, trong khi LockBit v3.0, được coi là chủng ransomware nhanh nhất, hoàn thành sau 7 phút.
Sau khi khóa hệ thống, phần mềm độc hại sẽ gửi một ghi chú đòi tiền chuộc tương tự như định dạng được sử dụng bởi phần mềm tống tiền Yanlowang.
Theo các nhà nghiên cứu, phiên bản trước của phần mềm độc hại đã sử dụng ghi chú đòi tiền chuộc tương tự như những gì DarkSide đã sử dụng.
Check Point nói rằng sự giống nhau này có thể là nguyên nhân khiến các nhà nghiên cứu khác nhầm lẫn một phiên bản khác của Rorschach với DarkSide, một hoạt động đã đổi tên thành BlackMatter vào năm 2021 và biến mất cùng năm.
Thông báo đòi tiền chuộc mới nhất được gửi bởi Rorschach
Các thành viên của BlackMatter đã thay đổi hình thức hoạt động của phần mềm tống tiền ALPHV/BlackCat ra mắt vào tháng 11 năm 2021.
Check Point đánh giá rằng Rorschach đã triển khai các tính năng tốt hơn từ một số chủng ransomware hàng đầu bị rò rỉ trực tuyến (Babuk, LockBit v2.0, DarkSide).
Cùng với khả năng tự lan truyền, phần mềm độc hại "nâng cao khả năng tấn công đòi tiền chuộc".
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.