Un ransomware recientemente detectado denominado Rorschach, llamado así porque todos los que lo examinaron “vieron algo diferente”, está siendo señalado por los investigadores de Check Point como una amenaza emergente y altamente peligrosa para las organizaciones.
El equipo de investigación, que lo detectó por primera vez mientras respondía a un incidente en un cliente de EE. UU., dijo que Rorschach “parece ser único”, compartiendo características de muchos otros tipos de ransomware, incluidos Babuk, DarkSide, LockBit y Yanluowang, pero sin superposiciones. que puede vincularlo con cualquier grado de confianza a cualquier otra variedad de ransomware.
Tampoco tiene una marca, lo que en sí mismo es bastante inusual para los operadores de ransomware, que no suelen ser tímidos ante la publicidad.
“Así como una prueba psicológica de Rorschach se ve diferente para cada persona, este nuevo tipo de ransomware tiene altos niveles de características técnicamente distintas tomadas de diferentes familias de ransomware, lo que lo hace especial y diferente de otras familias de ransomware”, dijo Sergey Shykevich, gerente del grupo de inteligencia de amenazas. en Punto de Control.
“Este es el ransomware más rápido y uno de los más sofisticados que hemos visto hasta ahora. Habla de la naturaleza rápidamente cambiante de los ataques cibernéticos y de la necesidad de que las empresas implementen una solución de prevención que pueda evitar que Rorschach cifre sus datos”.
Entre otras cosas, el malware de casilleros en sí mismo es muy avanzado y en parte autónomo, y puede llevar a cabo tareas, como crear una política de grupo de dominio (GPO), que generalmente se realizan manualmente, por sí solo. Es altamente personalizable y contiene algunas características técnicas distintas, como el uso de llamadas directas al sistema como técnica de ofuscación, que rara vez se observan.
Rorschach también es de acción extremadamente rápida. En una prueba cara a cara controlada contra LockBit 3.0, también conocido como demonio de la velocidad, tomó solo cuatro minutos y 30 segundos cifrar completamente 220,000 archivos. LockBit 3.0 tardó siete minutos.
Producto de seguridad legítimo explotado de carga del lado DLL
En el incidente informado por Check Point, Rorschach se implementó al explotar un problema en el producto Cortex XDR (detección y respuesta extendida) de Palo Alto Networks.
El éxito de esta técnica depende de que Cortex XDR Dump Service Tool se haya eliminado de su directorio de instalación, en cuyo caso se puede usar para cargar bibliotecas de vínculos dinámicos (DLL) que no son de confianza. Esto se conoce como carga lateral de DLL.
Jon Miller, director ejecutivo y cofundador de la plataforma antiransomware Halcyon, dijo: “Es… interesante saber que la entrega de carga lateral de DLL está abusando de la herramienta de servicio de volcado Cortex XDR porque es una seguridad legítima firmada digitalmente”. producto. Esta técnica aprovecha el software vulnerable para cargar archivos DLL maliciosos que brindan capacidades de persistencia y evasión.
“La carga lateral de DLL no es nueva, pero es algo rara. Fue implementado de manera similar por los actores de amenazas REvil en el infame ataque de ransomware Kaseya de 2021…. Las víctimas posteriores se vieron comprometidas por una actualización de software legítima de un proveedor conocido que se firmó con un certificado digital válido.
“Toda la higiene de seguridad del mundo no impedirá que una aplicación legítima ejecute la carga útil maliciosa en este tipo de ataque. Por lo tanto, la resiliencia operativa es clave”, agregó.
Miller dijo que detectar ataques de carga lateral de DLL podría ser complicado, pero los defensores pueden adelantarse buscando DLL sin firmar en archivos ejecutables, o rutas de carga sospechosas y marcas de tiempo que muestren brechas entre el tiempo de compilación para el ejecutable y el tiempo de carga de DLL. . Una diferencia significativa aquí podría indicar que hay una carga útil maliciosa en juego.
Palo Alto dijo que cuando el agente Cortex XDR está instalado en Windows y Dump Service Tool se ejecuta desde la ruta de instalación correcta, la técnica no se puede usar porque los permisos de seguridad y las protecciones del agente Cortex XDR lo detienen en seco.
Cortex XDR Agent 7.7 y versiones posteriores con CU-240, que se lanzó hace más de dos años, pueden detectar y bloquear Rorschach sin problemas.
“Este problema no representa un riesgo de vulnerabilidad del producto para los clientes que usan el agente Cortex XDR”, dijo Palo Alto en una actualización.
Sin embargo, Palo Alto dijo que planea lanzar nuevas versiones del agente Cortex XDR para evitar posibles usos indebidos en el futuro, y más adelante este mes se lanzará una nueva actualización de contenido para detectar y evitar la técnica específica de carga lateral de DLL utilizada por Rorschach.