Mais sofisticado que o ransomware tradicional, o Rorschach combina táticas de vários ataques conhecidos, além de novos recursos exclusivos para causar o máximo de dano possível e evasão de soluções de segurança cibernética.
O apelido dado ao novo ransomware se refere ao teste de Rorschach (popularmente conhecido como “teste do borrão de tinta”) que é uma técnica de avaliação psicológica pictórica, comumente denominada de teste projetivo ou mais recentemente de método de autoexpressão. Curiosamente, o ransomware Rorschach foi implantado usando a vulnerabilidade de carregamento lateral de DLL de um produto de segurança comercial assinado.
Foi encontrada recentemente uma variedade única de ransomware implantada usando um componente assinado de um produto de segurança comercial. Ao contrário de outros casos de ransomware, o atacante não se escondeu e parece não ter afiliação com nenhum dos grupos de ransomware conhecidos. Esses dois fatos, raridades no ecossistema de ransomware, despertaram o interesse de pesquisadores e levaram a analisar minuciosamente o malware recém-descoberto.
Uma análise comportamental do novo ransomware sugere que ele é parcialmente autônomo, espalhando-se automaticamente quando executado em um controlador de domínio (DC), enquanto limpa os logs (registros) de eventos das máquinas afetadas. Além disso, é extremamente flexível, operando não apenas com base em uma configuração integrada, mas também em inúmeros argumentos opcionais que permitem alterar seu comportamento de acordo com as necessidades do operador.
A nota de ransomware enviada à vítima foi formatada de forma semelhante às notas de ransomware Yanluowang, embora outras variantes tenham apresentado uma nota que mais se assemelhava às notas de ransomware do DarkSide (fazendo com que algumas se referissem erroneamente a ela como DarkSide).
O Rorschach também contém funcionalidades exclusivas, raramente vistas entre os ransomwares, como o uso de syscalls diretos. Este ransomware é parcialmente autônomo, executando tarefas que geralmente são executadas manualmente durante a implantação de ransomware em toda a empresa.
Especialistas ressaltam a importância de se manter fortes medidas de segurança cibernética para evitar ataques de ransomware, bem como a necessidade de monitoramento e análise contínuos de novas amostras de ransomware para ficar à frente das ameaças em evolução. Como esses ataques prosseguem em crescimento, frequência e em sofisticação, é essencial que as organizações permaneçam atentas e proativas em seus esforços para se proteger contra essas ameaças.
Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business. Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.
Resumo de Ransomware - KageNoHitobito e DoNex
Principais descobertas do Relatório de Segurança na Nuvem de 2024
