Investigadores han identificado un ‘malware’ denominado Rorschach, que ofrece un gran nivel de personalización y destaca por ser una de las cepas más rápidas en cuanto a la velocidad de su cifrado.
El equipo de respuestas a incidentes de la empresa de ciberseguridad Check Point, encontró este software malicioso cuando respondía a un caso de “ramsonware” contra un empresa en Estados Unidos.
Más tarde se dieron cuenta de que investigadores de la firma de seguridad surcoreana AhnLab habían documentado previamente una variante en febrero, pero la atribuyeron a la conocida operación de ransomware DarkSide. Check Point cree que esto es incorrecto y que la confusión podría deberse a que había similitudes en las notas de rescate lanzadas por las dos amenazas, pero no en todos los casos. En otros incidentes, Rorschach dejó caer una nota de rescate similar a la utilizada por otro programa ransomware, Yanluowang.
La investigación de Check Point arrojo una “cepa” de “ramsonware ” única capaz de desplegarse utilizando un componente firmado de Crotex XDR de Palo Alto Network.
Según la investigación, no es un método habitual para cargar un “ramsonware” por lo que podemos deducir de un nuevo enfoque adoptado por los ciberdelincuentes para eludir la detección.
Es parcialmente autónomo, se propaga de forma automática al ejecutarse en un controlador de dominio mientras borra registros de eventos y también se caracteriza por ser flexible y cambiar su comportamiento de acuerdo con las necesidades del operador.
Porque Rorschach?
El nombre se debe, a que en cada revisión que se encontró de “RORSCHACH” se pudo detectar diferencias unas de otras, el nombre está basado en el famoso test psicológico, indican los descubridores.
Asimismo, esta considerado como el “ramsonware” mas rápido de la historia debido a la velocidad de su cifrado.
Además, el autor de esta amenaza no se oculta con un alias ni parece encontrarse afiliado a grupos de ransomware ya conocidos.
fuente: https://blog.checkpoint.com/research/what-do-the-inkblots-tell-you-check-point-researchers-unveil-rorschach-previously-unseen-fastest-ever-ransomware/
