Check Point revela o ransomware “mais rápido de sempre”

A Check Point Research (CPR) e a Check Point Incident Response Team (CPIRT) estão a chamar a atenção para uma nova e mais sofisticada estirpe de ransomware que anteriormente não tinha nome. Denominado “Rorschach” pelos investigadores, este ransomware foi utilizado num ataque contra uma empresa sediada nos EUA.

O que faz com que Rorschach se destaque de outras estirpes de ransomware é o seu nível elevado de personalização e as suas características tecnicamente únicas que nunca tinham sido vistas em ransomware. De facto, o Rorschach é uma das estirpes de ransomware mais rápidas de sempre, no que toca à velocidade da sua encriptação.

Curiosamente, o Rorschach foi implementado num produto de segurança comercial. Este método de carregamento não é vulgarmente utilizado para carregar ransomware, e, assim, revela uma nova abordagem adotada pelos cibercriminosos para escapar à deteção. A vulnerabilidade que permitiu a implementação do Rorschach foi devidamente revelada à empresa de cibersegurança à qual o produto pertence.

Ao contrário de outros casos de ransomware, o ator da ameaça não se escondeu atrás de um pseudónimo e parece não ter qualquer afiliação a nenhum dos grupos de ransomware conhecidos. Estes dois factos, raridades no ecossistema do ransomware, despertaram o interesse da CPR e levaram-nos a analisar minuciosamente o malware recentemente descoberto.

Ao longo de toda a sua análise, o novo ransomware exibiu características únicas. Uma análise comportamental do novo ransomware sugere que é parcialmente autónomo, espalhando-se automaticamente quando executado num Domain Controller (CD), enquanto limpa os registos de eventos dos dispositivos afetados. Além disso, é extremamente flexível, funcionando não só com base numa configuração incorporada, mas também em numerosos argumentos opcionais que lhe permitem alterar o seu comportamento de acordo com as necessidades do operador. Embora pareça ter-se inspirado em algumas das mais infames famílias de ransomware, também contém funcionalidades únicas, raramente vistas entre os ransomwares, tais como a utilização de syscalls diretos.

A nota de ransomware enviada à vítima foi formatada de forma semelhante às notas de ransomware Yanluowang, embora outras variantes tenham apresentado uma nota que mais se assemelhava às notas de ransomware do DarkSide (fazendo com que algumas se referissem erroneamente como DarkSide). Cada pessoa que examinava o ransomware viu algo um pouco diferente, o que levou a empresa a dar-lhe o nome do famoso teste psicológico – Rorschach Ransomware.