A ce jour, le nouveau ransomware Rorschach serait le plus rapide pour chiffrer les données !
Dans le cadre d'une analyse effectuée suite à un incident de cybersécurité, des chercheurs en sécurité ont fait la découverte d'un ransomware qu'ils ont surnommé Rorschach et qui serait actuellement le plus rapide pour chiffrer les données.
Les chercheurs en sécurité de chez Check Point sont à l'origine de cette analyse effectuée après qu'une entreprise américaine ait subi une attaque informatique. Lors de cette attaque, les pirates sont parvenus à exploiter une faiblesse dans un outil de sécurité de chez Palo Alto Networks : Corter XDR, en utilisant la technique DLL side-loading.
D'après le rapport mis en ligne par Check Point, on peut voir que l'attaquant s'est appuyé sur Cortex XDR Dump Service Tool (cy.exe) pour initier l'attaque, ainsi que la bibliothèque winutils.dll. Finalement, le payload du ransomware a été exécuté via le processus notepad.exe à partir d'un fichier "config.ini". Une fois qu'une machine est compromise, le ransomware efface les journaux des événements de Windwos pour ne pas laisser de traces évidentes.
Le ransomware Rorschach est d'autant plus dangereux qu'il crée une GPO pour se propager vers d'autres machines lorsqu'il est exécuté sur un contrôleur de domaine. Une technique utilisée par d'autres ransomwares comme LockBit 2.0. Ce logiciel malveillant dispose d'une configuration codée en dur, mais il accepte des arguments à l'exécution. Grâce à du reverse engineering, les chercheurs en sécurité de Check Point sont parvenus à trouver quelques arguments.
Une technique de chiffrement redoutable
Avant de parler de la rapidité du chiffrement, ce qui est surprenant, c'est que le ransomware Rorschach chiffre les données de la victime uniquement si la machine utilise une langue qui n'appartient pas à la Communauté des États indépendants. Au passage, la Russie fait partie de cette liste.
Pour le chiffrement, le ransomware utilise les algorithmes Curve25519 et eSTREAM Cipher hc-128, et il utilise une technique de plus en plus à la mode qui consiste à chiffrer uniquement une partie de chaque fichier. Cela est suffisant pour rendre le fichier illisible et intéressant pour chiffrer très rapidement les données. De plus, ce ransomware est optimisé pour bien utiliser les threads de la machine, ce qui le rend encore plus rapide.
Les chercheurs de Check Point ont fait un test de performance sur une machine avec un CPU 6 coeurs et un ensemble de 220 000 fichiers. Il a fallu seulement 4,5 minutes au ransomware Rorschach pour chiffrer l'ensemble des données. À titre de comparaison, le ransomware LockBit 3.0 qui est réputé pour être très rapide l'a fait en 7 minutes.
Finalement, du côté de Check Point on affirme que le ransomware Rorschach regroupe les meilleures fonctionnalités des ransomwares dont le code source a fuité. On pense notamment à LockBit 2.0, Babuk et DarkSide. Pour l'heure, le groupe de cybercriminels à l'origine de cette souche malveillante n'est pas identifié.
