Check Point Research (CPR) en Check Point Incident Response Team (CPIRT) ontdekten een nieuwe geavanceerde, ontwijkende en extreem snelle ransomware. Deze ransomware, door de onderzoekers ‘Rorschach’ genoemd, werd gebruikt bij een aanval op een in de VS gevestigd bedrijf en versleutelt bijna twee keer zo snel als LockBit.
De ransomware werd gevonden door het Incident Response Team tijdens een reactie op een ransomware-zaak gericht op een in de VS gevestigd bedrijf. Het team vond een unieke ransomware-stam die werd ingezet met behulp van een DLL side-loading van Palo Alto Network’s Cortex XDR Dump Service Tool, een commercieel beveiligingsproduct. Deze laadmethode wordt niet vaak gebruikt om ransomware te laden en onthult dus een nieuwe aanpak van cybercriminelen om detectie te omzeilen. In tegenstelling tot andere gevallen van ransomware verschuilde de bedreigingsactor zich niet achter een alias en lijkt hij geen banden te hebben met een van de bekende ransomware-groepen. Deze feiten, rariteiten in het ransomware-ecosysteem, wekten de interesse van de onderzoekers van CPR, die de nieuw ontdekte malware grondig analyseerden. De kwetsbaarheid die de implementatie van Rorschach mogelijk maakte, werd correct bekendgemaakt aan Palo Alto Networks.
Ongekende snelheid en zelden geziene functies bij ransomware
Tijdens de analyse vertoonde de nieuwe ransomware unieke kenmerken. Rorschach onderscheidt zich door het hoge niveau van aanpassing en de technisch unieke functies die nog niet eerder in ransomware zijn gezien. Rorschach is zelfs een van de snelste ransomware-stammen die ooit zijn waargenomen, in termen van de snelheid van de codering. Uit de analyse bleek dat de ransomware deels autonoom is en zichzelf automatisch verspreidt wanneer het wordt uitgevoerd op een Domain Controller (DC) terwijl het de gebeurtenislogboeken van getroffen machines wist. Bovendien is het uiterst flexibel en werkt het niet alleen op basis van een ingebouwde configuratie, maar ook op tal van optionele argumenten, waarmee het zijn gedrag kan aanpassen aan de behoeften van de operator. Hoewel het lijkt te zijn geïnspireerd door enkele van de meest beruchte ransomware-families, bevat het ook unieke functionaliteiten, zoals het gebruik van directe syscalls.
De ransomware-notitie die naar het slachtoffer werd gestuurd, was op dezelfde manier geformatteerd als de Yanluowang-ransomware-notities, hoewel andere varianten een notitie lieten vallen die meer leek op de DarkSide-ransomware-notities (waardoor sommigen er ten onrechte naar verwezen als DarkSide). Elke persoon die de ransomware onderzocht, zag iets anders, wat de onderzoekers ertoe bracht het te vernoemen naar de beroemde psychologische Rorschachtest.
Bescherming tegen Rorschach
Het zich ontwikkelende cyberlandschap vraagt om een preventie-eerst runtime bescherming tegen ransomware met direct geautomatiseerd herstel, zelfs in de offline modus. In het geval van een afwijking die wordt veroorzaakt door een ransomware, moet anti-ransomware in staat zijn om de volledige aanvalsketen direct te identificeren, te blokkeren en te herstellen.
“Net zoals een Rorschachtest of inktvlektest er voor iedereen anders uitziet, heeft dit nieuwe type ransomware een hoog niveau van technisch verschillende kenmerken die afkomstig zijn uit verschillende ransomware-families, waardoor het speciaal en echt anders is dan andere ransomware-families die we tot nu toe kenden. Dit is de snelste en een van de meest geavanceerde ransomware die we tot nu toe hebben gezien”, reageert Sergey Shykevich, Threat Intelligence Group Manager bij Check Point Research. “Het is een nieuw voorbeeld van de snel veranderende aard van cyberaanvallen – en spreekt voor de noodzaak voor bedrijven om een preventie-eerst-oplossing in te zetten die kan voorkomen dat Rorschach, of een andere ransomware, hun gegevens versleutelt en de bedrijfscontinuïteit aantast.”
Meer details zijn te lezen in dit blog of het onderzoeksverslag van CPR.