Check Point® Software Technologies Ltd. (NASDAQ: CHKP) han identificado el malware «Rorschach», inédito hasta el momento. Se diferencia de otras cepas de ransomware por su alto nivel de personalización y sus características técnicamente únicas que no se han visto antes en ransomware. De hecho, Rorschach es una de las cepas de ransomware más rápidas jamás observadas, en cuanto a la velocidad de su cifrado.
Curiosamente, Rorschach se desplegó utilizando la carga lateral DLL de Cortex XDR Dump Service Tool de Palo Alto Network, un método que no se emplea utiliza habitualmente para cargar ransomware, por lo que revela un nuevo enfoque adoptado por los ciberdelincuentes para eludir la detección. La vulnerabilidad que permitió el despliegue de Rorschach se ha puesto debidamente en conocimiento de Palo Alto Networks.
¿Qué hemos encontrado?
«Mientras respondíamos a un caso de ransomware contra una empresa con sede en EE.UU., nuestro CPIRT se topó recientemente con una cepa de ransomware única que se despliega utilizando un componente firmado de Cortex XDR de Palo Alto Network. A diferencia de otros casos de ransomware, el autor de la amenaza no se ocultaba tras un alias y no parece estar afiliado a ninguno de los grupos de ransomware conocidos. Estos dos hechos, poco comunes en el ecosistema del ransomware, despertaron el interés de CPR y nos llevaron a analizar a fondo el malware recién descubierto», indican desde el Equipo de Respuesta a Incidentes de Check Point (CPIRT)
Velocidad inédita y características poco frecuentes entre el ransomware
A lo largo de su análisis, el nuevo ransomware mostró características únicas. Su comportamiento sugiere que es parcialmente autónomo, propagándose automáticamente cuando se ejecuta en un Controlador de Dominio (DC) mientras borra los registros de eventos de las máquinas afectadas. Además, es extremadamente flexible, operando no sólo en base a una configuración incorporada que le permite cambiar su comportamiento según las necesidades del operador. Aunque parece haberse inspirado en algunas de las familias de ransomware más conocidas, también contiene funcionalidades únicas como el uso de syscalls directas.
La nota del ransomware enviada a la víctima tenía un formato similar al de las notas del ransomware Yanluowang, aunque otras variantes dejaban caer una nota que se parecía más a las notas del ransomware DarkSide (lo que provocó que algunos se refirieran erróneamente a él como DarkSide). Cada persona que examinó el ransomware vio algo un poco diferente, lo que nos llevó a bautizarlo con el nombre del famoso test psicológico: Rorschach Ransomware.
Nota de rescate de Rorschach
