guiadeti
Conteúdo
Ransomware Rorschach
Após um ataque cibernético a uma empresa nos Estados Unidos, os pesquisadores de malware descobriram uma nova variante de ransomware que chamaram de Rorschach, com recursos tecnicamente exclusivos. Entre esses recursos, a velocidade de criptografia é o mais notável, tornando o Ransomware Rorschach a ameaça de ransomware mais rápida conhecida.
Os hackers implantaram o malware na rede da vítima após explorar um ponto fraco na ferramenta de detecção de ameaças e resposta a incidentes. A técnica utilizada pelo Ransomware Rorschach foi o carregamento lateral de DLL por meio de um componente assinado no Cortex XDR, o produto estendido de detecção e resposta da Palo Alto Networks.
O Check Point relata que o Rorschach cria uma Diretiva de Grupo quando executado em um Controlador de Domínio do Windows para propagar para outros hosts no domínio. Depois de comprometer uma máquina, o malware apaga quatro logs de eventos (Aplicativo, Segurança, Sistema e Windows Powershell) para limpar seu rastro.
Embora venha com configuração codificada, o Ransomware Rorschach oferece suporte a argumentos de linha de comando que expandem a funcionalidade. No entanto, as opções estão ocultas e não podem ser acessadas sem a engenharia reversa do malware. A criptografia do Ransomware Rorschach combina os algoritmos curve25519 e eSTREAM cipher hc-128 e segue a tendência de criptografia intermitente, o que significa que ele criptografa os arquivos apenas parcialmente, proporcionando maior velocidade de processamento.
Para descobrir a velocidade da criptografia do Rorschach, a Check Point configurou um teste com 220.000 arquivos em uma máquina com CPU de 6 núcleos. O Rorschach levou apenas 4,5 minutos para criptografar os dados, enquanto o LockBit v3.0, considerado a variedade de ransomware mais rápida, terminou em 7 minutos.
Depois de bloquear o sistema, o malware lança uma nota de resgate semelhante ao formato usado pelo ransomware Yanlowang. Os membros do BlackMatter alteraram a operação de ransomware ALPHV/BlackCat, lançada em novembro de 2021. A Check Point avalia que o Rorschach implementou os melhores recursos de alguns dos principais tipos de ransomware vazados online (Babuk, LockBit v2.0, DarkSide).
Juntamente com os recursos de autopropagação, o malware “eleva o padrão para ataques de resgate”. Até o momento, os operadores do Ransomware Rorschach permanecem desconhecidos e não há marca.
Ransomware
Ransomware é um tipo de malware que criptografa os arquivos de um computador ou sistema e exige um pagamento para liberar o acesso aos dados criptografados. Geralmente, os criadores de ransomware exigem que a vítima pague em uma moeda digital como Bitcoin para manter o anonimato.
O ransomware pode ser distribuído por e-mail de phishing, sites maliciosos ou por meio de vulnerabilidades em softwares. Uma vez que o ransomware infecta um sistema, ele geralmente exibe uma mensagem informando que os arquivos foram criptografados e que a vítima deve pagar um resgate para receber a chave de descriptografia.
Alguns tipos de ransomware sequestram não apenas os dados de um usuário, mas também todo o sistema, exigindo um pagamento para restaurar o acesso. Além disso, os hackers podem ameaçar vazar informações confidenciais ou sensíveis do usuário caso o pagamento não seja feito.
É importante notar que, mesmo que o usuário pague o resgate, não há garantia de que seus dados serão desbloqueados ou que as informações vazadas não serão divulgadas. Como resultado, a prevenção e a proteção contra ataques de ransomware são fundamentais para garantir a segurança e a privacidade dos usuários e organizações.
O ransomware pode ser extremamente prejudicial para as vítimas, pois pode resultar em perda permanente de dados, danos financeiros e danos à reputação de uma empresa. É importante ter medidas de segurança cibernética adequadas, como backups regulares, softwares antivírus e atualizações de software, para minimizar o risco de infecção por ransomware.
Compartilhe!
Gostou da notícia? Então compartilhe!
Fontes
O post Ransomware Rorschach evolui: especialistas alertam para táticas avançadas de evasão apareceu primeiro em Guia de TI.
