Onderzoekers van Check Point Research en het gelijknamige Incident Response Team (CPIRT) hebben een nieuwe geavanceerde vorm van ransomware ontdekt. Het zogenaamde Rorschach werd gebruikt bij een aanval op een in de VS gevestigd bedrijf en versleutelt gegevens bijna twee keer zo snel als LockBit. Het CPIRT heeft vastgesteld dat de malware werd ingezet met behulp van dll-sideloading van de Pala Alto Networks Cortex XDR Dump Service Tool, een commercieel beveiligingsproduct. Inmiddels is PAN op de hoogte van de kwetsbaarheid.
De analyse heeft aangetoond dat Rorschach een van de snelste ransomware-stammen is die ooit is waargenomen - wat de snelheid van de codering betreft. Daarnaast is gebleken dat de malafide software deels autonoom is en zichzelf automatisch verspreidt wanneer het wordt uitgevoerd op een domeincontroller, terwijl het de logboeken van getroffen systemen wist.
De malware maakt gebruik van directe syscalls, een eigenschap die zeldzaam is bij ransomware.
Rorschach blijkt ook uiterst flexibel te zijn: naast een ingebouwde configuratie zijn er verschillende optionele argumenten ter beschikking, waarmee het zijn gedrag kan aanpassen aan de behoeften van de operator. Zo was de losgeldbrief die naar het slachtoffer werd gestuurd op dezelfde manier geformatteerd als bij de Yanluowang-ransomware, terwijl andere varianten dan weer deden denken aan de DarkSide-ransomware. Elke persoon die Rorschach onderzocht zag als het ware iets anders, waardoor de onderzoekers voor de naam van de beroemde psychologische test hebben gekozen.
Wie meer technische informatie wil lezen, kan terecht op de website van Check Point Research (link).
Bron: Check Point Research
