Il nuovo ransomware Rorschach batte i record di velocità di cifratura grazie a uno schema crittografico ibrido e alla tecnica della crittografia parziale.
I ricercatori di sicurezza hanno scoperto uno dei ceppi di ransomware a crittografia più rapida, soprannominato “Rorschach“, che ha anche mostrato sofisticate capacità di evasione negli attacchi in tutto il mondo.
Il ransomware è stato rilevato in un attacco contro l’ambiente Windows di un’azienda statunitense non rivelata e subito identificato come un ceppo particolarmente efficiente e apparentemente non affiliato.
Check Point Research ha pubblicato i dettagli su Rorschach in un post sul blog, descrivendolo come “uno dei ransomware più veloci in circolazione” grazie alla sua impressionante ottimizzazione e al sofisticato metodo di crittografia.
Velocità di cifratura record per Rorschach
Nei test di crittografia condotti in un ambiente controllato, Rorschach è stato in grado di crittografare 220.000 file in 270 secondi, ben 150 secondi più velocemente del ransomware LockBit 3.0, autoproclamatosi “più veloce”.
Questo risultato è stato ottenuto grazie a un mix di algoritmi curve25519 e hc-128, attraverso i quali vengono crittografate solo sezioni di file per una crittografia più efficiente.
I ricercatori hanno ipotizzato che Rorschach sia in grado di raggiungere velocità ancora maggiori grazie alle modifiche apportate all’argomento della riga di comando, consolidando il suo ruolo di nuova minaccia per quanto riguarda i tempi di crittografia.
Origini del codice e collegamenti ad altri ransomware
Rorschach sembra contenere i migliori frammenti di codice di una serie di altri ceppi di ransomware.
Sia i ricercatori di Check Point che quelli di Group-IB hanno notato che il codice utilizzato da Rorschach per eliminare i servizi è identico a quello presente nel ransomware Babuk, mentre le classi che utilizza per rinominare i file macchina crittografati sembrano essere state prese da LockBit 2.0.
A parte la sua sofisticazione crittografica, il ceppo opera secondo uno schema standard per i ransomware. Disattiva alcuni servizi per evitare il rilevamento, uccide il firewall e cancella i volumi ombra per impedire il recupero dei file.
Le note di riscatto che i ricercatori hanno trovato sui sistemi infetti hanno preso in prestito la struttura da quelle trovate negli attacchi di Yanluowang, anche se la nota di riscatto in una diversa variante di Rorschach identificata da AhnLab era più vicina alla struttura del gruppo DarkSide.
Le note hanno dimostrato che gli attori della minaccia dietro Rorschach hanno una forte padronanza dell’inglese, distinguendoli da altri gruppi come LockBit, le cui note comprendono frasi inglesi spezzate.
Il gruppo non usa minacce di doppia estorsione nelle sue note, limitandosi a esortare le aziende a pagare o a subire un altro attacco.
Distribuzione e attacchi attribuiti a Rorschach
Rorschach è tracciato da Group-IB come “BabLock” e nel gennaio 2023 è stato rintracciato in attacchi contro obiettivi industriali in Europa, Asia e Medio Oriente.
I dispositivi in russo e in altre lingue dominanti nei territori post-sovietici sono stati lasciati indenni dal ransomware.
Group-IB
“Riteniamo che il gruppo BabLock non sia legato ad alcun programma di affiliazione RaaS in particolare e che esegua attacchi occasionali ‘silenziosi’ utilizzando un ransomware proprietario”.
Le caratteristiche insolite di Rorschach lo hanno reso difficile da rilevare ed eliminare una volta identificato.
Utilizza l’istruzione “syscall” per chiamare direttamente le API di sistema, in modo da eludere il software antivirus. Il ceppo è anche parzialmente autonomo e si è scoperto che si auto-propaga quando viene eseguito su un controller di dominio di Windows attraverso la creazione di criteri di gruppo per diffondersi a tutte le workstation collegate, proprio come LockBit 2.0.
L’analisi iniziale di Rorschach è stata ostacolata dalla qualità dell’offuscamento utilizzato dagli sviluppatori per schermare il codice, un’altra indicazione dell’abilità dei suoi creatori.
I campioni sottoposti a reverse engineering hanno rivelato un elenco nascosto di argomenti che possono essere passati a Rorschach per controllarne le azioni, come ad esempio se si autocancella, quali percorsi eliminare o se il campione richiede una password per operare.
Check Point ha fatto notare che l’elenco degli argomenti non è esaustivo e che altri argomenti trovati implicano che Rorschach è in grado di operare attraverso le reti.
Implicazioni future e consigli per gli amministratori IT
L’adattabilità del ceppo è ciò che ha portato Check Point a chiamarlo “Rorschach“, con i ricercatori che hanno notato che “ogni persona che ha esaminato il ransomware ha visto qualcosa di leggermente diverso”.
Avendo operato per alcuni mesi senza essere individuato e senza una chiara auto-identificazione, non è chiaro se Rorschach espanderà le sue operazioni o cercherà di adottare doppi metodi di estorsione.
Al momento, i ricercatori hanno esortato gli amministratori IT a continuare a seguire le best practice e a rimanere vigili contro questo nuovo ceppo aggressivo.
