Check Point vydal varování před novým sofistikovaným ransomwarem Rorschach, který se dokáže skrývat před bezpečnostními řešeními, extrémně rychle zašifruje data a ochromí tak celou organizaci. Rorschach kombinuje taktiky a techniky jiných ransomwarů, navíc přidává další unikátní funkce. Rychlost šifrování je podle Check Pointu nevídaná, jde o téměř dvojnásobek rychlosti šifrování obávaného ransomware LockBit.
„České organizace by měly být velmi obezřetné, protože od začátku roku sledujeme nárůst ransomwarových útoků, ve druhé polovině března čelila nějakému vyděračskému útoků dokonce každá 25. česká společnost. S novými hrozbami, jako je Rorschach, se riziko ještě násobí. Organizace proto musí nasadit pokročilá preventivní řešení,“ říká Tomáš Růžička, SE Team Leader z kyberbezpečnostní společnosti Check Point Software Technologies.
Rorschach byl použit například k útoku na americkou společnost, kde využil slabinu v komponentě známého bezpečnostního produktu. Útočníci se na rozdíl od jiných případů neskrývali za žádnou přezdívkou a zdá se, že ransomware není napojen ani na žádnou ze známých ransomwarových skupin.
Ransomware Rorschach je částečně autonomní a dokáže se sám šířit, když je spuštěn na řadiči domény. Na napadených počítačích také vymaže protokoly událostí a je mimořádně flexibilní, aby mohl měnit své chování podle potřeb útočníků. Ačkoli se inspiroval některými známými ransomwarovými rodinami, obsahuje i unikátní funkce, které se u ransomwaru vyskytují jen zřídka, jako je například použití přímých systémových volání.
Některé varianty odesílají oběti žádost o výkupné, která připomíná vyděračskou zprávu ransomwaru Yanluowang. Ale jiné varianty napodobují vyděračské zprávy ransomwaru DarkSide. Zkrátka každý, kdo ransomware Rorschach zkoumal, viděl něco trochu jiného, proto byl tento ransomware pojmenován právě podle slavného psychologického testu, uvádí tisková zpráva společnosti Check Point.
Přestože se Rorschach používá výhradně k šifrování, obsahuje neobvyklou techniku, která umožňuje obejít obranné mechanismy. Provádí přímá systémová volání pomocí instrukce „syscall“ a i když jsme něco podobného viděli u jiných malwarů, u ransomwaru je to poměrně překvapivé.
Ransomware Rorschach je unikátní také rychlostí šifrování dat. Využívá velmi efektivní hybridní šifrování, které zakóduje pouze určitou část původního souboru. Check Point provedl srovnání s jiným rychlým ransomwarem a Rorschach v testu jednoznačně překonal i nebezpečný ransomware LockBit v.3.