- Ransomware Rorschach se odlišuje od všech známých ransomwarových kmenů a nelze ho spojit ani s žádnou známou hackerskou skupinou.
- Rorschach je částečně autonomní a provádí i úkoly, které je obvykle nutné dělat při útoku manuálně. Navíc je velmi flexibilní a disponuje technicky unikátními funkcemi, jako je přímé systémové volání, které se u ransomwaru vyskytují jen ojediněle. Jedná se také o nejrychleji šifrující ransomware.
- Rorschach k útoku použil techniku DLL side-loading v bezpečnostním produktu Cortex XDR Dump Service Tool společnosti Palo Alto Networks, což je pro ransomware neobvyklé. Společnost Palo Alto Networks byla o zranitelnosti informována.
PRAHA – 6. dubna 2023 — Check Point Research, výzkumný tým společnosti Check Point® Software Technologies Ltd. (NASDAQ: CHKP), předního světového poskytovatele kyberbezpečnostních řešení, varuje před novým sofistikovaným ransomwarem Rorschach, který se dokáže skrývat před bezpečnostními řešeními, extrémně rychle zašifruje data a ochromí tak celou organizaci. Rorschach kombinuje taktiky a techniky jiných ransomwarů, navíc přidává další unikátní funkce, takže se jedná o ultimátní kybernetickou zbraň. Rychlost šifrování je nevídaná, jde o téměř dvojnásobek rychlosti šifrování obávaného ransomware LockBit.
„Stejně jako psychologický Rorschachův test vypadá u každého člověka jinak, tak i tento nový typ ransomwaru mění svou podobu. Navíc spojuje nebezpečné funkce používané jinými ransomwary se zcela novými schopnostmi, takže se jedná o nejrychlejší a jeden z nejsofistikovanějších ransomwarů, které jsme dosud viděli. České organizace by měly být velmi obezřetné, protože od začátku roku sledujeme nárůst ransomwarových útoků, ve druhé polovině března čelila nějakému vyděračskému útoků dokonce každá 25. česká společnost. S novými hrozbami, jako je Rorschach, se riziko ještě násobí. Organizace proto musí nasadit pokročilá preventivní řešení,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.
Rorschach byl použit například k útoku na americkou společnost, kde využil slabinu v komponentě známého bezpečnostního produktu. Útočníci se na rozdíl od jiných případů neskrývali za žádnou přezdívkou a zdá se, že ransomware není napojen ani na žádnou ze známých ransomwarových skupin.
Ransomware Rorschach je částečně autonomní a dokáže se sám šířit, když je spuštěn na řadiči domény. Na napadených počítačích také vymaže protokoly událostí a je mimořádně flexibilní, aby mohl měnit své chování podle potřeb útočníků. Ačkoli se inspiroval některými známými ransomwarovými rodinami, obsahuje i unikátní funkce, které se u ransomwaru vyskytují jen zřídka, jako je například použití přímých systémových volání.
Některé varianty Rorschacha odesílají oběti žádost o výkupné, která připomíná vyděračskou zprávu ransomwaru Yanluowang. Ale jiné varianty napodobují vyděračské zprávy ransomwaru DarkSide. Zkrátka každý, kdo ransomware Rorschach zkoumal, viděl něco trochu jiného, proto byl tento ransomware pojmenován právě podle slavného psychologického testu.
Jedna z variant žádosti o výkupné, kterou oběti zobrazí ransomware Rorschach
Rorschach spouští procesy neobvyklým způsobem a komplikuje tak analýzu a odhalení. Navíc dokáže vypnout Windows firewall, mazat zálohy nebo zastavit některé služby.
Přestože se Rorschach používá výhradně k šifrování, obsahuje neobvyklou techniku, která umožňuje obejít obranné mechanismy. Provádí přímá systémová volání pomocí instrukce „syscall“ a i když jsme něco podobného viděli u jiných malwarů, u ransomwaru je to poměrně překvapivé.
Před zašifrováním systému provede Rorschach také systémovou kontrolu, která může útok zastavit:
- Používá funkce GetSystemDefaultUILanguage a GetUserDefaultUILanguage, aby zjistil, jaký jazyk uživatel používá.
- Útok se ukončí, pokud je se jedná o jazyk běžně používaný ve Společenství nezávislých států, kam patří Arménie, Ázerbájdžán, Bělorusko, Kazachstán, Kyrgyzstán, Rusko, Tádžikistán a Uzbekistán.
Ransomware Rorschach je unikátní také rychlostí šifrování dat. Využívá velmi efektivní hybridní šifrování, které zakóduje pouze určitou část původního souboru. Check Point provedl srovnání s jiným rychlým ransomwarem a Rorschach v testu jednoznačně překonal i nebezpečný ransomware LockBit v.3.
Rorschach je nová, extrémně nebezpečná hrozba. Dokáže se maskovat a vyhnout detekci a spojuje to nejlepší z různých ransomwarů, k čemuž přidává i další unikátní funkce. Dokáže sám šířit a tím zvyšuje laťku nebezpečnosti vyděračských útoků. Zatím není jasné, kdo za tímto ransomwarem stojí, protože útočníci nepoužívají žádnou značku, což je u podobných operací poměrně vzácné.
Je proto důležitější více než kdy dříve, aby organizace byly proaktivní a používaly pokročilá preventivní bezpečnostní řešení, která je ochrání i před sofistikovanými útoky. Například Harmony Endpoint ochrání společnosti i před zmíněným ransomwarem Rorschach.
Více informací najdete v analýze výzkumného týmu Check Point Research: https://research.checkpoint.com/2023/rorschach-a-new-sophisticated-and-fast-ransomware/
Novinky od českého týmu společnosti Check Point Software Technologies:
Facebook: https://www.facebook.com/CheckPointCzech
Twitter: https://twitter.com/CheckPointCzech
LinkedIn: https://cz.linkedin.com/showcase/checkpointczech
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point Software Technologies:
Twitter: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software TechnologiesCheck Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.