Rorschach - Un nuevo ransomware sofisticado y rápido
4 de abril de 2023
Investigación realizada por: Jiri Vinopal, Dennis Yarizadeh y Gil Gekker
Principales hallazgos:
Check Point Research (CPR) y el Equipo de Respuesta a Incidentes de Check Point (CPIRT) se encontraron con una cepa de ransomware sin nombre previo, a la que apodamos Rorschach, desplegada contra una empresa con sede en Estados Unidos.
El ransomware Rorschach parece ser único, ya que no presenta solapamientos que pudieran atribuirlo fácilmente a ninguna cepa de ransomware conocida. Además, no lleva ningún tipo de marca, una práctica habitual entre los grupos de ransomware.
El ransomware es parcialmente autónomo, llevando a cabo tareas que normalmente se realizan manualmente durante el despliegue de ransomware en toda la empresa, como la creación de una política de grupo de dominio (GPO). En el pasado, una funcionalidad similar estaba vinculada a LockBit 2.0.
El ransomware es altamente personalizable y contiene características técnicamente únicas, como el uso de syscalls directas, raramente observadas en ransomware. Además, debido a los diferentes métodos de implementación, Rorschach es uno de los ransomware más rápidos observados, por la velocidad de cifrado.
El ransomware se desplegó utilizando la carga lateral DLL de un Cortex XDR Dump Service Tool, un producto de seguridad comercial firmado, un método de carga que no se utiliza habitualmente para cargar ransomware. La vulnerabilidad fue debidamente notificada a Palo Alto Networks.
Introducción
Mientras respondía a un caso de ransomware contra una empresa con sede en EE.UU., el CPIRT se encontró recientemente con una cepa de ransomware única desplegada utilizando un componente firmado de un producto de seguridad comercial. A diferencia de otros casos de ransomware, el autor de la amenaza no se ocultaba tras ningún alias y no parece estar afiliado a ninguno de los grupos de ransomware conocidos. Estos dos hechos, rarezas en el ecosistema del ransomware, despertaron el interés de la RCP y nos impulsaron a analizar a fondo el malware recién descubierto.
A lo largo de su análisis, el nuevo ransomware mostró características únicas. Un análisis del comportamiento del nuevo ransomware sugiere que es parcialmente autónomo, propagándose automáticamente cuando se ejecuta en un controlador de dominio (DC), al tiempo que borra los registros de eventos de las máquinas afectadas. Además, es extremadamente flexible, operando no sólo en base a una configuración incorporada sino también a numerosos argumentos opcionales que le permiten cambiar su comportamiento según las necesidades del operador. Aunque parece haberse inspirado en algunas de las familias de ransomware más infames, también contiene funcionalidades únicas, raramente vistas entre el ransomware, como el uso de syscalls directas.
La nota del ransomware enviada a la víctima tenía un formato similar al de las notas del ransomware Yanluowang, aunque otras variantes dejaban caer una nota que se parecía más a las notas del ransomware DarkSide (lo que provocó que algunos se refirieran erróneamente a él como DarkSide). Cada persona que examinó el ransomware vio algo un poco diferente, lo que nos llevó a bautizarlo con el nombre del famoso test psicológico: Rorschach Ransomware.