Gli esperti di Chech Point Software hanno scoperto un nuovo ransomware durante l’analisi di un attacco informatico subito da un’azienda statunitense. Rorschach, questo è il nome scelto, non deriva da nessun ransomware noto, offre funzionalità esclusive e soprattutto può essere considerato il ransomware con la cifratura più veloce del mondo.
Rorschach: record di velocità
I ransomware vengono solitamente installati sui computer delle vittime al termine della catena di infezione. Rorschach è invece parzialmente autonomo e può diffondersi automaticamente quando eseguito su un controller di dominio. È anche molto flessibile, in quanto è disponibile una configurazione predefinita, ma può anche essere personalizzato in base a specifici parametri.
Gli autori del ransomware sfruttano il Dump Service Tool di Cortex XDR, un prodotto di sicurezza di Palo Alto Network, per caricare in memoria il file winutils.dll
tramite DLL side-loading. La DLL è il loader di Rorschach. Il ransomware viene successivamente iniettato nel processo notepad.exe
dal file config.ini
.
Il malware termina diversi servizi, cancella le copia shadow dei volumi, disattiva il firewall di Windows e pulisce i log di Application, Security, System e Windows Powershell per nascondere le tracce. Quando eseguito su un controller di dominio, il ransomware crea un criterio di gruppo per la propagazione su altri computer del dominio e aggiunge un’attività pianificata per l’esecuzione all’avvio.
Per cifrare i file viene usata una combinazione degli algoritmi curve25519 e eSTREAM cipher hc-128. In base ai test effettuati da Check Point Software con 220.000 file, la cifratura viene completata in 4 minuti e 30 secondi, quindi Rorschach è attualmente il ransomware più veloce del mondo (il noto LockBit 3.0 impiega 7 minuti).
Al termine viene copiato un file di testo con le istruzioni da seguire per il pagamento del riscatto di un milione di dollari.