Check Point Research y su Equipo de Respuesta a Incidentes (CPIRT) han detectado una cepa de ransomware hasta ahora desconocida, al que han bautizado como «Rorschach», desplegada contra una empresa estadounidense. Se diferencia de otras cepas de ransomware por su alto nivel de personalización y sus características técnicamente únicas que no se han visto antes en ransomware. De hecho, aseguran desde Check Point que Rorschach es una de las cepas de ransomware más rápidas jamás observadas, en cuanto a la velocidad de su cifrado.
Explican los investigadores de la compañía que Rorschach se desplegó utilizando la carga lateral DLL de Cortex XDR Dump Service Tool de Palo Alto Network, “un método que no se emplea utiliza habitualmente para cargar ransomware, por lo que revela un nuevo enfoque adoptado por los ciberdelincuentes para eludir la detección”. Aseguran los investigadores que la vulnerabilidad que permitió el despliegue de Rorschach se ha puesto debidamente en conocimiento de Palo Alto Networks.
Los equipos de Check Point Research y CPIRT se toparon con la cepa mientras respondían a un caso de ransomware contra una empresa con sede en EE.UU. Explica que, a diferencia de otros casos de ransomware, el autor de la amenaza no se ocultaba tras un alias y no parecía estar afiliado a ninguno de los grupos de ransomware conocidos. Estos dos hechos, poco comunes en el ecosistema del ransomware, despertaron el interés de CPR y les llevó a analizar a fondo el malware recién descubierto.
Velocidad inédita
A lo largo de su análisis, el nuevo ransomware mostró características únicas. Explican los investigadores que su comportamiento sugiere que es parcialmente autónomo, propagándose automáticamente cuando se ejecuta en un Controlador de Dominio (DC) mientras borra los registros de eventos de las máquinas afectadas. Además, es extremadamente flexible, operando no sólo en base a una configuración incorporada que le permite cambiar su comportamiento según las necesidades del operador. Aunque parece haberse inspirado en algunas de las familias de ransomware más conocidas, también contiene funcionalidades únicas como el uso de syscalls directas.
La nota del ransomware enviada a la víctima tenía un formato similar al de las notas del ransomware Yanluowang, aunque otras variantes dejaban caer una nota que se parecía más a las notas del ransomware DarkSide (lo que provocó que algunos se refirieran erróneamente a él como DarkSide). Cada persona que examinó el ransomware vio algo un poco diferente, lo que llevó al equipo a bautizarlo con el nombre del famoso test psicológico: Rorschach Ransomware.
