21/06/23
В мире вымогательского ПО всегда была конкуренция, в которой злоумышленники пытаются улучшить скорость проведения атак, а организации постоянно защищаются от них. Скорость так важна, что RaaS-платформы (Ransomware-as-a-Service, вымогательское ПО как услуга) привлекают потенциальных аффилированных лиц, показывая скорость выполнения своих кампаний.
LockBit, одна из самых успешных вымогательских группировок, публично демонстрировала своё преимущество по сравнению с конкурентами по скорости шифрования. Но теперь появился новый игрок на рынке — Rorschach, который забрал у LockBit 3.0 титул «короля скорости шифрования».
Rorschach — это один из новых вариантов вымогательского ПО, который был впервые обнаружен в апреле 2023 года исследователями кибербезопасности Check Point, пишет Securitylab. Rorschach является модифицированной версией кода вымогательского ПО Babuk. Rorschach привлекает внимание своей высокой скоростью, которая является критическим фактором как для злоумышленников, так и для защитников. Эксперты по кибербезопасности выделяют несколько аспектов, по которым Rorschach опережает другие программы-вымогатели.
Скорость распространения вредоносного ПО
Один из важных компонентов скорости — это способность быстро распространять вредоносное ПО как можно шире. В прошлом киберпреступники использовали различные техники для быстрого распространения, включая атаки на цепочку поставок и использование существующих инструментов кибербезопасности.
Однако Rorschach имеет интересную возможность самораспространения и автономности, которая использует объекты групповой политики домена Active Directory (AD GPO). Это позволяет вредоносному ПО быстро распространяться по сети и запускать программу-вымогатель на каждом конечном устройстве с ошеломляющей скоростью. Благодаря этому Rorschach продвинул границы дальше, чем когда-либо, с такими интересными методами самораспространения.
Для противодействия таким методам организациям необходимы инструменты, которые борются с самораспространением. Это может быть, например, технология активной защиты, которая справляется с вымогателем в режиме реального времени и обнаруживает злоумышленников как можно раньше.
Скорость шифрования данных для вымогательства
На конечных устройствах Windows создатели Rorschach тщательно выбрали потоковый шифр HC-128, который шифрует большие потоки данных с впечатляющей производительностью. Rorschach использует асимметричный метод обмена ключами, основанный на Curve25519. Метод эффективен как по вычислительной производительности, так и по потреблению памяти, при этом сохраняя высокий уровень безопасности.
Как и многие другие варианты вымогателей, включая LockBit и Babuk, Rorschach шифрует только части файла, а не всё его содержимое. Такой приём называется прерывистым шифрованием, который стал популярным в последние годы за свою эффективность и скорость.
Шифрование только частей файла существенно сокращает время шифрования. Уменьшая фазу шифрования, хакеры затрудняют обнаружение своей вредоносной активности. Шифрование данных — это видимая часть атаки, и злоумышленники сокращают это окно, чтобы улучшить свои шансы в борьбе против защитников.
Как и LockBit и другие известные программы-вымогатели, Rorschach также использует параллелизм и многопоточность для высокопроизводительного и быстрого шифрования. Поскольку реализация Rorschach адаптирована для каждого типа операционной системы, она использует порты завершения ввода-вывода (I/O) для эффективного многопоточного шифрования. Эта техника заимствована у LockBit 3.0, REvil, Hive, BlackMatter и DarkSide.
Важно отметить, что практически все современные варианты вымогателей уже выполняют шифрование данных очень быстро. К сожалению, все они намного быстрее ИБ-специалистов или инструментов безопасности.
Хотя Rorschach опережает конкурентов по скорости, программа-вымогатель на данный момент не крадёт данные для двойного вымогательства, в отличие от LockBit, которые сначала похищают данные предприятия, а затем шифруют их.
Способность обходить обнаружение
Одной из особенностей Rorschach является его способность обходить обнаружение, используя техники обфускации, действительных учётных записей пользователей и служб домена, а также техник подмены аргументов для скрытия истинных возможностей программы-вымогателя.
Такой метод обхода защиты – новизна для программ-вымогателей, но не для кибербезопасности. Для борьбы с техникой самораспространения Rorschach с использованием AD GPO и высокоскоростного шифрования защитникам нужны решения, которые могут обнаруживать и реагировать на новые и автономные возможности вымогателя в режиме реального времени.
