05/04/23
Исследователи кибербезопасности CheckPoint раскрыли ранее недокументированный вид программы-вымогателя под названием Rorschach, который имеет весьма сложную структуру и высокую производительность.
«Что отличает Rorschach от других штаммов программ-вымогателей, так это высокий уровень настройки и уникальные функции, которых раньше не было в программах-вымогателях. К тому же Rorschach — один из самых быстрых штаммов программ-вымогателей, когда-либо наблюдаемых, с точки зрения скорости его шифрования», — говорится в новом отчёте CheckPoint.
Вымогатель не имеет брендинга или дублирующей информации, которая связывала бы его с какой-либо ранее известной хакерской группировкой. Однако подробный анализ исходного кода Rorschach обнаруживает его сходство с программой-вымогателем Babuk, код которой утёк в сеть ещё в сентябре 2021 года, пишет Securitylab. Что-то общее у Rorschach специалисты нашли и с LockBit 2.0. Вдобавок ко всему, записки о выкупе, разосланные жертвам, похоже, вдохновлены записками из вымогателей Yanluowang и DarkSide.
Наиболее интересным аспектом вторжения является использование метода DLL Sideloading для получения полезной нагрузки. Этот метод крайне редко используется в программах-вымогателях. В кампании, которую наблюдали специалисты CheckPoint, программа-вымогатель была развернута путем злоупотребления инструментом Cortex XDR Dump Service Tool (cy.exe) от Palo Alto Network для загрузки библиотеки с именем «winutils.dll».
Еще одна уникальная характеристика Rorschach — широкие возможности настройки и использование прямых системных вызовов для манипулирования файлами и обхода защитных механизмов. Программа завершает системные процессы, удаляет теневые тома и резервные копии; очищает журналы событий Windows, чтобы стереть следы, по которым судебные эксперты могут расследовать атаку; отключает брандмауэр Windows и даже удаляет сама себя после завершения своих действий.
Данная программа-вымогатель, как и многие другие недавно замеченные штаммы вредоносных программ, пропускает компьютеры, расположенные в странах СНГ, проверяя установленный в системе язык. Это снова наводит на мысль о стране происхождения авторов этих программ.
«Программа-вымогатель Rorschach использует высокоэффективную и быструю схему гибридной криптографии, которая сочетает в себе алгоритмы шифра curve25519 и eSTREAM hc-128», — объяснили исследователи CheckPoint. Этот процесс предназначен для шифрования только определенной части исходного содержимого файла, а не всего файла целиком, и использует дополнительные методы оптимизации компилятора, которые делают его «чертовски быстрым».
В пяти отдельных тестах, проведенных CheckPoint в контролируемой среде, 220 тысяч файлов были зашифрованы программой Rorschach в среднем за 4 минуты 30 секунд. А у LockBit 3.0, например, тот же процесс занял примерно 7 минут.
Как можно заметить, авторы Rorschach, похоже, взяли некоторые из «лучших» функций ведущих программ-вымогателей, просочившихся в открытый доступ, и интегрировали их вместе. В дополнении к принципиально новым возможностям вредоноса по типу продвинутого уклонения от обнаружения и ускоренного шифрования, все эти функции делают Rorschach довольно опасной угрозой, которую нельзя оставлять без внимания. Особенно пользователям, живущим за пределами стран СНГ.
