Pesquisadores de malware da empresa de segurança cibernética Check Point descobriram o que pode ser o ransomware criptografador mais rápido até agora. O rorschach foi usado para um ataque a uma empresa dos Estados Unidos e conta com "recursos tecnicamente exclusivos".
Os hackers aproveitaram uma fraqueza na detecção de ameaças do alvo. Eles usaram uma técnica de carregamento lateral para implantar o vírus, protegido por engenharia reversa. Ao comprometer a máquina, o malware apaga logs de aplicativo, segurança, sistema e Windows Powershell, apagando os rastros.
O ransomware só criptografa os dados da vítima quando o computador está em um idioma de fora da Comunidade dos Estados Independentes (CEI), que envolve países da ex-União Soviética. Em cinco testes, os pesquisadores observaram 220 mil arquivos serem criptografados pelo rorschach em uma média de 4 minutos e 30 segundos. Em comparação, o LockBit 3.0 leva 7 minutos.
O novo ransomware é mais rápido que similares mais antigos.Fonte: GettyImages
“O ransomware Rorschach emprega um esquema de criptografia híbrida altamente eficaz e rápido, que combina os algoritmos curve25519 e eSTREAM cipher hc-128 para fins de criptografia”, disseram os pesquisadores Jiri Vinopal, Dennis Yarizadeh e Gil Gekker.
Ao analisar o código-fonte mais profundamente, eles observaram semelhanças com o Babuk, vazado em setembro de 2021, e com o LockBit 2.0. As mensagens de resgate enviadas às vítimas são parecidas com as do Yanluowang e do DarkSide.
Além da invasão nos EUA, os ataques com o rorschach já foram detectados na Europa, Oriente Médio e Ásia.
Fontes
Categorias