I ricercatori di Cybersecurity di Check Point Research hanno scoperto un nuovo tipo di ransomware distribuito sulle reti di un’azienda statunitense. Lo hanno soprannominato Rorschach. Secondo loro, oltre a essere molto sofisticato, questo malware è estremamente veloce.
Analizzando il codice di Rohrschach, gli esperti hanno scoperto che si tratta di uno dei ransomware più veloci mai osservati, grazie alla sua velocità di crittografia. Se la sua distribuzione è automatizzata. I suoi creatori sfruttano la funzione di caricamento laterale di Cortex XDR, un’applicazione di sicurezza professionale, per scaricare una libreria di collegamento dinamico (DLL) su un computer collegato alla rete dell’azienda bersaglio. Una volta che la DLL è in posizione, decomprime il codice dannoso. Il codice dannoso viene quindi eseguito tramite uno script nel “Blocco note” di Windows e replicato ad altri sistemi connessi alla rete dal controller di dominio. Da lì, tutti i file e le unità vengono crittografati. La trappola è in atto.
Rohrschach si differenzia da altri ransomware per diversi aspetti. Da un lato, il ransomware non è firmato, una pratica comune tra i ricattatori informatici. Dall’altro, “è parzialmente autonomo, eseguendo compiti che di solito vengono svolti manualmente quando si distribuisce un ransomware su scala aziendale, come la creazione di una politica di gruppo del dominio”.
Rohrschach si aggiudica il premio come ransomware più temuto dopo Lockbit
Rohrschach cancella le sue tracce eliminando i registri degli eventi di Windows. Inoltre, cancella i backup automatici o manuali dei file o dei dischi (Shadow Copy), al fine di impedire qualsiasi recupero di questi ultimi, e disabilita anche il firewall del computer.
Soprattutto, Rohrschach ha impressionato i ricercatori per la sua velocità di esecuzione. Se Lockbit è considerato il ransomware più temibile del momento, le misurazioni effettuate dagli analisti non lasciano spazio a dubbi: mentre Lockbit impiega 7 minuti per crittografare 220.000 file sullo storage SSD locale di un PC, Rohrschach impiega solo 4,5 minuti per svolgere lo stesso compito. Gli analisti aggiungono che il malware potrebbe essere messo a punto un po’ più finemente per essere ancora più veloce.