ABD merkezli bir şirkette bir siber saldırının ardından, kötü amaçlı yazılım araştırmacıları, Rorschach adını verdikleri "teknik olarak benzersiz özelliklere" sahip yeni bir fidye yazılımı suşu gibi görünen şeyleri keşfetti.
Gözlemlenen yetenekler arasında, araştırmacıların testlerine göre Rorschach'ı bugün en hızlı fidye yazılımı tehdidi haline getirecek şifreleme hızı da var.
Analistler, bilgisayar korsanlarının bir tehdit tespiti ve olay müdahale aracında bir zayıflıktan yararlandıktan sonra kötü amaçlı yazılımları kurban ağına yerleştirdiğini buldular.
ABD'deki bir şirketteki bir olaya yanıt veren siber güvenlik şirketi kontrol noktasındaki araştırmacılar, Rorschach'ın Palo Alto Networks'ten genişletilmiş algılama ve yanıt ürünü olan Cortex XDR'de imzalı bir bileşen aracılığıyla DLL yan yükleme tekniği kullanılarak konuşlandırıldığını buldu.
Saldırgan, fidye yazılımı yükü, “config.ini” nin bir not defteri işleminde başlatılmasına yol açan Rorschach yükleyicisini ve enjektörünü (winutils.dll) yan yüklemek için Cortex XDR Dump Dump Service Aracı (Cy.exe) sürüm 7.3.0.16740 kullandı. .
Yükleyici dosyası UPX tarzı anti-analiz korumasına sahiptir, ana yük ise VMProtect yazılımını kullanarak kodun bölümlerini sanallaştırarak ters mühendislik ve algılamaya karşı korunur.
Kontrol noktası, Rorschach'ın bir Windows etki alanı denetleyicisinde yürütüldüğünde, etki alanındaki diğer ana bilgisayarlara yayılmak için bir grup ilkesi oluşturduğunu bildirir.
Bir makineden ödün verdikten sonra, kötü amaçlı yazılım izini silmek için dört olay günlüğünü (uygulama, güvenlik, sistem ve Windows PowerShell) siler.
Sabit kodlanmış yapılandırma ile birlikte, Rorschach işlevselliği genişleten komut satırı bağımsız değişkenlerini destekler.
Kontrol noktası, seçeneklerin gizli olduğunu ve kötü amaçlı yazılımları tersine mühendislik yapmadan erişilemeyeceğini not edin. Araştırmacıların keşfettiği argümanlardan bazıları aşağıdadır:
Rorschach verileri yalnızca kurban makinesi bağımsız devletler (CIS) dışındaki bir dille yapılandırılmışsa şifrelemeye başlayacaktır.
Şifreleme şeması Curve25519 ve Estream Cipher HC-128 algoritmalarını harmanlar ve aralıklı şifreleme trendini takip eder, yani dosyaları yalnızca kısmen şifreliyor ve artan işlem hızına borç veriyor.
Araştırmacılar, Rorschach’ın şifreleme rutininin "G/Ç tamamlama bağlantı noktaları aracılığıyla iş parçacığı planlamasının oldukça etkili bir şekilde uygulandığını" gösterdiğini belirtiyor.
Rorschach’ın şifrelemesinin ne kadar hızlı olduğunu bulmak için Check Point, 6 çekirdekli bir CPU makinesinde 220.000 dosya ile bir test ayarladı.
Verilerin şifrelenmesi Rorschach 4,5 dakika sürdü, oysa Lockbit V3.0, en hızlı fidye yazılımı suşu olarak kabul edildi, 7 dakika içinde bitti.
Sistemi kilitledikten sonra, kötü amaçlı yazılım, Yanlowang fidye yazılımı tarafından kullanılan formata benzer bir fidye notu bırakır.
Araştırmacılara göre, kötü amaçlı yazılımın önceki bir sürümü Darkside'nin kullandıklarına benzer bir fidye notu kullandı.
Check Point, bu benzerliğin muhtemelen diğer araştırmacıların Rorschach'ın farklı bir versiyonunu 2021'de karartmaya başlayan ve aynı yıl kaybolan bir operasyon olan Darkside ile karıştırmasına neden olduğunu söylüyor.
Blackmatter üyeleri Alter, Kasım 2021'de piyasaya sürülen ALPHV/Blackcat Ransomware operasyonunu oluşturdu.
Check Point, Rorschach'ın çevrimiçi sızan önde gelen fidye yazılımı suşlarından daha iyi özellikleri uyguladığını değerlendirir (Babuk, Lockbit v2.0, Darkside).
Kendini tanıtan yeteneklerin yanı sıra, kötü amaçlı yazılım "fidye saldırıları için çıtayı yükseltir."
Şu anda Rorschach fidye yazılımı operatörleri bilinmiyor ve fidye yazılımı sahnesinde nadiren görülen bir marka yok.
Yeni para mesajı fidye yazılımı milyon dolarlık fidye talep ediyor
Yeni Dark Power Ransomware ilk ayında 10 kurban iddia ediyor
Yeni Esxiargs Ransomware sürümü VMware ESXI kurtarmayı önler
Alphv Ransomware, ilk erişim için veritas backup exec hatalarını istismar ediyor
Fidye yazılımı siber saldırısından sonra birden fazla dava ile tokatlandı
Kaynak: Bleeping Computer