À la suite d’une cyberattaque contre une entreprise basée aux États-Unis, des chercheurs en logiciels malveillants ont découvert ce qui semble être une nouvelle souche de ransomware avec des « caractéristiques techniquement uniques », qu’ils ont nommée Rorschach.
Parmi les capacités observées figure la vitesse de cryptage qui, selon les tests des chercheurs, ferait de Rorschach la menace de ransomware la plus rapide aujourd’hui.
Les analystes ont découvert que les pirates avaient déployé le logiciel malveillant sur le réseau victime après avoir exploité une faiblesse dans un outil de détection des menaces et de réponse aux incidents.
Détails du Rorschach
Des chercheurs de la société de cybersécurité Check Point, répondant à un incident dans une entreprise aux États-Unis, ont découvert que Rorschach avait été déployé à l’aide de la technique de chargement latéral DLL via un composant signé dans Cortex XDR, le produit de détection et de réponse étendue de Palo Alto Networks.
L’attaquant a utilisé la version 7.3.0.16740 de Cortex XDR Dump Service Tool (cy.exe) pour charger le chargeur et l’injecteur Rorschach (winutils.dll), ce qui a conduit au lancement de la charge utile du ransomware, « config.ini », dans un processus Bloc-notes.
Le fichier de chargement dispose d’une protection anti-analyse de type UPX, tandis que la charge utile principale est protégée contre l’ingénierie inverse et la détection en virtualisant des parties du code à l’aide du logiciel VMProtect.
Check Point signale que Rorschach crée une stratégie de groupe lorsqu’il est exécuté sur un contrôleur de domaine Windows pour se propager à d’autres hôtes du domaine. Après avoir compromis une machine, le logiciel malveillant efface tous les journaux d’événements.
Bien qu’il soit livré avec une configuration codée en dur, Rorschach prend en charge les arguments de ligne de commande qui étendent les fonctionnalités.
Check Point note que les options sont masquées et ne sont pas accessibles sans rétro-ingénierie du logiciel malveillant. Voici quelques-uns des arguments découverts par les chercheurs :
Le processus de cryptage de Rorschach
Rorschach ne commencera à chiffrer les données que si la machine victime est configurée avec une langue en dehors de la Communauté des États indépendants (CEI).
Le schéma de cryptage associe les algorithmes de chiffrement curve25519 et eSTREAM hc-128 et suit la tendance de cryptage intermittent, ce qui signifie qu’il ne crypte les fichiers que partiellement, ce qui lui confère une vitesse de traitement accrue.
Les chercheurs notent que la routine de chiffrement de Rorschach indique « une implémentation très efficace de la planification des threads via les ports d’achèvement d’E/S ».
« De plus, il semble que l’optimisation du compilateur soit prioritaire pour la vitesse, une grande partie du code étant en ligne. Tous ces facteurs nous font croire que nous avons peut-être affaire à l’un des rançongiciels les plus rapides du marché. – Check Point
Pour déterminer la rapidité du cryptage de Rorschach, Check Point a mis en place un test avec 220 000 fichiers sur une machine à processeur 6 cœurs.
Il a fallu 4,5 minutes à Rorschach pour chiffrer les données, tandis que LockBit v3.0, considérée comme la souche de ransomware la plus rapide, s’est terminée en 7 minutes.
Après avoir verrouillé le système, le malware dépose une note de rançon similaire au format utilisé par le ransomware Yanlowang.
Selon les chercheurs, une version précédente du malware utilisait une note de rançon similaire à celle utilisée par DarkSide.
Check Point dit que cette similitude est probablement ce qui a poussé d’autres chercheurs à confondre une version différente de Rorschach avec DarkSide, une opération qui a été renommée BlackMatter en 2021 et a disparu la même année.
Les membres de BlackMatter alter ont formé l’opération de rançongiciel ALPHV/BlackCat qui a été lancée en novembre 2021.
Check Point évalue que Rorschach a implémenté les meilleures fonctionnalités de certaines des principales souches de ransomware divulguées en ligne (Babuk, LockBit v2.0, DarkSide).
En plus des capacités d’auto-propagation, le logiciel malveillant « élève la barre des attaques de rançon ».
Pour le moment, les opérateurs du rançongiciel Rorschach restent inconnus et il n’y a pas de marque, ce qui est rarement vu sur la scène des rançongiciels.