Rorschach, un nuovo ransomware avanzato e velocissimo

Apr 07, 2023 Dario Orlandi Malware, Minacce, Minacce, News, Ransomware, RSS 0

Una nuova ricerca pubblicata da Check Point Research ha svelato per la prima volta una nuova tipologia di ransomware, denominata Rorschach, con caratteristiche innovative e piuttosto preoccupanti.

Il nuovo ransomware ha infatti mostrato una velocità di crittografia record: ha cifrato 220.000 file in soli quattro minuti e mezzo, che è quasi la metà del tempo impiegato da LockBit 3.0.

Inoltre, questo malware è altamente personalizzabile: può ad esempio regolare il numero di thread di crittografia tramite un argomento della riga di comando per ottenere prestazioni ancora superiori.

Il ransomware Rorschach è notevole non solo per la sua velocità di crittografia record, ma anche perché contiene elementi noti copiati da altri ceppi di malware.

Un malware misterioso

Inoltre, gli operatori di Rorschach non utilizzano un alias o marchi per promuovere il loro prodotto, il che è insolito in questo tipo di attività criminale. Ciò rende difficile identificare gli autori del ransomware e comprenderne la posizione nell’ecosistema del crimine informatico, da cui il nome Rorschach.

Sergey Shykevich, Threat Intelligence Group Manager di Check Point

Sergey Shykevich, Threat Intelligence Group Manager di Check Point, ha spiegato così questa scelta: “Proprio come un test psicologico di Rorschach sembra diverso per ogni persona, questo nuovo esemplare ha caratteristiche tecnicamente distinte di alto livello prese da diverse famiglie di ransomware, che lo rendono speciale e diverso dalle altre famiglie di malware”.

Rorschach presenta diversi aspetti che lo distinguono da altri ceppi di ransomware: ad esempio, può svolgere autonomamente attività che di solito richiedono l’intervento manuale degli operatori. Inoltre, implementa uno schema di crittografia ibrida che è alla base della sua velocità di elaborazione.

Il ransomware utilizza messaggi di riscatto che prendono spunto da altre famiglie di malware e ha un elenco di servizi da interrompere ricavato da un altro ceppo di ransomware. La lista delle lingue utilizzate per bloccare il malware è ispirata a un altro ceppo ancora.

Infine, Rorschach utilizza il metodo di thread I/O Completion Ports che è stato visto in un altro ceppo di ransomware. Questo mix di tecniche e funzioni assemblate come un patchwork rende difficile per gli esperti individuare gli autori del malware e capire come si posiziona nell’ecosistema del crimine informatico.

Elementi originali

Rorschach presenta anche alcune caratteristiche uniche, che lo rendono un prodotto più interessante rispetto a un semplice assemblaggio di altri malware.

Ad esempio, usa il sideload DLL e una vecchia versione dello strumento dump Cortex XDR di Palo Alto Networks per distribuirsi negli Stati Uniti, ma PAN ha emesso un avviso che le versioni più recenti di Cortex XDR possono rilevare e bloccare il ransomware.

Inoltre, utilizza syscall dirette per iniettare codice dannoso in altri processi, una tecnica rara nell’ecosistema ransomware.

“Questa tecnica è usata per eludere il rilevamento da parte di malware avanzato e sofisticato e non è comunemente osservata nel ransomware. L’implementazione di tali meccanismi rende molto più difficile rilevare il ransomware”, ha spiegato Shykevich.

Rorschach è parzialmente autonomo e può diffondersi in un ambiente senza l’interazione dell’utente, cancellando i registri eventi delle macchine interessate. Inoltre, è altamente flessibile e può modificare il suo comportamento in base alle esigenze dell’operatore, utilizzando numerosi argomenti opzionali oltre alla configurazione integrata.

Shykevich ha dichiarato: “Questo è il ransomware il più veloce e uno dei più sofisticati che abbiamo visto finora; segnala la rapida evoluzione degli attacchi informatici e la necessità per le aziende di implementare una soluzione di prevenzione che possa impedire a Rorschach di crittografare i dati”.

Condividi l'articolo