Uma nova modalidade de ransomware foi revelada nesta semana por especialistas em segurança, tendo capacidades avançadas e agindo de forma altamente veloz. O Rorschach, como foi batizado, foi descoberto após o ataque a uma empresa nos Estados Unidos e teria uma capacidade de travar sistemas inteiros em pouco mais de quatro minutos, com rapidez superior à de outros malwares conhecidos do mercado.
O alerta foi feito pela Check Point Research, divisão de pesquisas da empresa de cibersegurança, que chamam a atenção para uma ameaça altamente sofisticada e capaz. Sem compartilhar códigos com outros ransomwares disponíveis no mercado, o Rorschach é capaz de escapar de sistemas de segurança para se implantar em sistemas e realizar suas ações maliciosas, além de contar com recursos para maximizar os danos causados.
No caso da análise que levou à descoberta, a praga foi carregada no sistema juntamente com uma solução legítima de segurança, da empresa Palo Alto Networks. Neste caso, os criminosos usaram o conhecido método de carregamento paralelo de DLLs, ou side loading, incluindo dados comprometidos em um software legítimo, para que todos sejam carregados juntos e com anuência do usuário, que não sabe estar sendo acessório da contaminação enquanto realiza a instalação.
Ao mesmo tempo em que se espalha pela rede, o Rorschach também é capaz de limpar os registros de eventos das máquinas afetadas, em uma tentativa de esconder sua presença. A praga também tem diferentes módulos de atuação e é citada pela Check Point como parcialmente autônoma, alterando seu comportamento de acordo com as necessidades do operador e combinando táticas para ampliar o poder de fogo.
Chamou a atenção dos pesquisadores, também, o fato de este ser um ataque aparentemente realizado por uma quadrilha ainda desconhecida, já que não foram citadas afiliações na nota de resgate. De acordo com a análise, ela carrega similaridades com as de bancos como DarkSide e Yanluowang, mas sem que a origem nestes dois grupos pudesse ser determinada, o que fez os especialistas pensarem em um novo agente de ameaças.
A falta de “marca”, aliás, não é usual nesse segmento, com o nome Rorschach, inclusive, vem desta ideia de que cada ataque e solicitação de pagamento pode ser diferente de acordo com a empresa atingida, da mesma forma que o famoso teste faz com que cada pessoa veja imagens variadas em uma tela com borrões de tinta. Ainda que exista a clara inspiração em outras famílias de ransomware, para a Check Point, estamos lidando aqui com uma ofensiva completamente inédita.
Travamento rápido do ransomware é destaque
De todas as capacidades técnicas do ransomware, o que mais chamou a atenção dos pesquisadores, definitivamente, foi a velocidade com a qual ele é capaz de travar os arquivos. Até o momento, a praga usada pelo grupo LockBit era considerada a mais veloz, mas esse pódio, agora, tem um novo primeiro colocado, com o Rorschach assumindo a ponta.
De acordo com os testes realizados pela Check Point, o ransomware foi capaz de criptografar 220 mil arquivos em apenas 4 minutos e 30 segundos. Isso rodando em uma unidade local, em um computador com SSD, 6 CPUs e 8 GB de memória RAM, características de um PC empresarial comum e que demonstram a velocidade de ação de uma praga que, ao lado da furtividade apresentada, se demonstra amplamente perigosa.
“Esse novo ransomware tem recursos tecnicamente distintos, de alto nível, retirados de diferentes famílias, o tornando especial e diferente”, aponta Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Software. “É o mais rápido e sofisticado que vimos até agora, sinalizando mudança na natureza dos ataques cibernéticos.”
Por enquanto, os ataques detectados pela equipe de segurança atingiram o sistema operacional Windows, mas a equipe da Check Point adianta que já existem indícios de versões que miram outras plataformas. As análises nesse sentido ainda estão sendo realizadas e devem ser divulgadas no futuro.
Via Canaltech
