Chech Point Software ha identificato una nuova minaccia informatica chiamata Rorschach, che si differenzia dai ransomware esistenti. La caratteristica principale di questo malware è la velocità di cifratura, la più rapida del mondo.
Modalità di diffusione
I ransomware, solitamente, si diffondono attraverso l’infezione di computer, ma Rorschach ha la capacità di propagarsi in modo autonomo. Una volta eseguito su un controller di dominio, riesce a creare un criterio di gruppo per la propagazione su altri computer del dominio. Inoltre, può configurarsi in base a specifici parametri.
Metodologia di attacco
Per installarsi, Rorschach utilizza il Dump Service Tool di Cortex XDR, prodotto di sicurezza di Palo Alto Network, per caricare in memoria il file winutils.dll tramite DLL side-loading. Il ransomware viene successivamente iniettato nel processo notepad.exe dal file config.ini. In questo modo, il malware può terminare diversi servizi, cancellare le copie shadow dei volumi e disattivare il firewall di Windows, oltre a pulire i log di Application, Security, System e Windows Powershell.
Cifratura dei file
Rorschach utilizza una combinazione degli algoritmi curve25519 e eSTREAM cipher hc-128 per cifrare i file. Secondo i test effettuati da Check Point Software su 220.000 file, la cifratura viene completata in soli 4 minuti e 30 secondi, rendendo Rorschach il ransomware più veloce del mondo.
Richiesta di riscatto
Alla fine della cifratura, il ransomware copia un file di testo contenente le istruzioni per il pagamento del riscatto di un milione di dollari, il quale rappresenta la richiesta in cambio della restituzione dei dati cifrati.
Nota Bene: Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.