0 0 O que pode ser o binário de criptografia de ransomware mais rápido de todos os tempos foi detectado na natureza, bloqueando sistemas a quase o dobro da velocidade do notório malware LockBit 3.0.
De acordo com testes de velocidade da Check Point Research (CPR), o novo vilão em cena, apelidado de “Rorschach”, pode criptografar 220.000 arquivos de unidade local em apenas quatro minutos e meio. Para comparação, o LockBit 3.0 realizou a tarefa em sete minutos, e é muito, muito mais rápido do que o tempo médio de criptografia determinado nos testes do ano passado.
“O que é ainda mais notável é que o ransomware Rorschach é altamente personalizável. Ao ajustar o número de threads de criptografia por meio do argumento da linha de comando, ele pode alcançar tempos ainda mais rápidos”, de acordo com a pesquisa CPR emitida em 4 de abril.
Uma colcha de retalhos das melhores técnicas de ransomware
Além de sua eficiência preocupante, Rorschach é notável porque contém elementos publicamente conhecidos extraídos do código-fonte vazado de outras cepas de ransomware. E, curiosamente, os operadores por trás do Rorschach não empregam um pseudônimo, nem marcam seus produtos – muito incomum de se ver em gangues de ransomware, onde a reputação é importante e a autopromoção é abundante.
O resultado é uma cepa de malware que está aberta à interpretação em termos de quem são seus operadores e onde se encaixa no ecossistema – daí o nome.
“Assim como um teste psicológico de Rorschach parece diferente para cada pessoa, esse novo tipo de ransomware tem altos níveis de recursos tecnicamente distintos retirados de diferentes famílias de ransomware – tornando-o especial e diferente de outras famílias de ransomware”, diz Sergey Shykevich, gerente de grupo de inteligência de ameaças da CPR.
Os aspectos Frankenstein presentes no malware incluem:
- Executar de forma autônoma tarefas que geralmente são manuais em cepas de ransomware, como a criação de uma política de grupo de domínio (LockBit 2.0);
- Um esquema de criptografia híbrida que é a base de sua velocidade de criptografia (Babuk);
- Ransom observa que emprestam muito de famílias de ransomware anteriores (DarkSide e Yanluowang);
- A lista de serviços a serem interrompidos na configuração de Rorschach (Babuk);
- A lista de idiomas usados para deter o malware (LockBit 2.0);
- E, o método de Portas de Conclusão de E/S do thread (LockBit 2.0).
Elementos de codificação exclusivos de Rorschach
No entanto, embora seja um mutuário, Rorschach também adiciona seu próprio molho especial aos procedimentos. Por exemplo, a CPR detectou que ele estava sendo implantado nos EUA usando o side-loading da DLL e uma versão mais antiga da Cortex XDR Dump Service Tool da Palo Alto Networks (PAN) – algo que o PAN verificou.
“A Palo Alto Networks verificou que o Cortex XDR 7.7 e versões mais recentes, com atualização de conteúdo versão 240 e atualizações de conteúdo posteriores, detectam e bloqueiam o ransomware”, de acordo com um comunicado PAN emitido em conjunto com a pesquisa da CPR.
Ele também faz uso de syscalls diretas para injetar silenciosamente código malicioso em outros processos, o que os pesquisadores de CPR chamaram de “surpreendente”, já que a técnica é extremamente rara no ecossistema de ransomware.
“Essa técnica é comumente usada para evitar a detecção comportamental por malware avançado e sofisticado e não é comumente observada em ransomware”, explica Shykevich. “A implementação de tais mecanismos torna muito mais difícil detectar o ransomware.”
Também notável: é parcialmente autônomo, o que significa que ele pode abrir caminho através de um ambiente sem interação do usuário.
“Ele se espalha automaticamente quando executado em um controlador de domínio (DC), enquanto limpa os logs de eventos das máquinas afetadas”, de acordo com a análise. “Além disso, é extremamente flexível, operando não apenas com base em uma configuração integrada, mas também em inúmeros argumentos opcionais que permitem que ele mude seu comportamento de acordo com as necessidades do operador.”
Ao todo, Rorschach “eleva o nível dos ataques de resgate”, de acordo com pesquisadores da RCP.
“Este é o ransomware mais rápido e mais sofisticado que vimos até agora”, diz Shykevich. “Isso fala sobre a natureza em rápida mudança dos ataques cibernéticos e sobre a necessidade de as empresas implantarem uma solução de prevenção em primeiro lugar que possa impedir a Rorschach de criptografar seus dados”.
FONTE: DARK READING
