Snelste ransomware ooit ontdekt

De ransomware is gevonden door het Incident Response Team tijdens een reactie op een ransomware-zaak gericht op een in de VS gevestigd bedrijf. Het team vond een unieke ransomware-stam die werd ingezet met behulp van een DLL side-loading van Palo Alto Network's Cortex XDR Dump Service Tool, een commercieel beveiligingsproduct. Deze laadmethode wordt niet vaak gebruikt om ransomware te laden en onthult dus een nieuwe aanpak van cybercriminelen om detectie te omzeilen.

In tegenstelling tot andere gevallen van ransomware verschuilde de bedreigingsactor zich niet achter een alias en lijkt deze geen banden te hebben met een van de bekende ransomware-groepen. Dit wekten de interesse van de onderzoekers van CPR, die de nieuw ontdekte malware grondig analyseerden.

Unieke kenmerken

Tijdens de analyse vertoonde de nieuwe ransomware unieke kenmerken. Rorschach onderscheidt zich door het hoge niveau van aanpassing en de technisch unieke functies die nog niet eerder in ransomware zijn gezien. Rorschach is zelfs een van de snelste ransomware-stammen die ooit zijn waargenomen als we kijken naar de snelheid van de codering.

Uit de analyse blijkt dat de ransomware deels autonoom is en zichzelf automatisch verspreidt wanneer het wordt uitgevoerd op een Domain Controller (DC), terwijl het de gebeurtenislogboeken van getroffen machines wist. Bovendien is het uiterst flexibel en werkt het niet alleen op basis van een ingebouwde configuratie, maar ook op tal van optionele argumenten. Het kan zo zijn gedrag aanpassen aan de behoeften van de operator. Hoewel het lijkt te zijn geïnspireerd door enkele van de meest beruchte ransomware-families, bevat het ook unieke functionaliteiten zoals het gebruik van directe syscalls.

De ransomware-notitie die naar het slachtoffer is gestuurd, was op dezelfde manier geformatteerd als de Yanluowang-ransomware-notities. Andere varianten brachten echter een notitie met zich mee die meer lijkt op de DarkSide-ransomware-notities, waardoor sommigen er ten onrechte naar verwezen als DarkSide. Elke persoon die de ransomware onderzocht zag iets anders, wat de onderzoekers ertoe bracht het te vernoemen naar de beroemde psychologische Rorschachtest.

Bescherming tegen Rorschach

Het zich ontwikkelende cyber landschap vraagt om een preventie-eerst runtimebescherming tegen ransomware met direct geautomatiseerd herstel, ook in offline modus. In het geval van een afwijking die wordt veroorzaakt door een ransomware, moet anti-ransomware in staat zijn om de volledige aanvalsketen direct te identificeren, te blokkeren en te herstellen.

“Net zoals een Rorschachtest of inktvlektest er voor iedereen anders uitziet, heeft dit nieuwe type ransomware een hoog niveau van technisch verschillende kenmerken die afkomstig zijn uit verschillende ransomware-families, waardoor het speciaal en echt anders is dan andere ransomware-families die we tot nu toe kenden. Dit is de snelste en een van de meest geavanceerde ransomware die we tot nu toe hebben gezien”, reageert Sergey Shykevich, Threat Intelligence Group Manager bij Check Point Research. “Het is een nieuw voorbeeld van de snel veranderende aard van cyberaanvallen - en spreekt voor de noodzaak voor bedrijven om een preventie-eerst-oplossing in te zetten die kan voorkomen dat Rorschach, of een andere ransomware, hun gegevens versleutelt en de bedrijfscontinuïteit aantast.”

Meer details zijn beschikbaar in dit blog of het onderzoeksverslag van CPR.