Aggiornamenti recenti Aprile 19th, 2024 9:00 AM
Apr 07, 2023 Dario Orlandi Malware, Minacce, Minacce, News, Ransomware, RSS 0
Una nuova ricerca pubblicata da Check Point Research ha svelato per la prima volta una nuova tipologia di ransomware, denominata Rorschach, con caratteristiche innovative e piuttosto preoccupanti.
Il nuovo ransomware ha infatti mostrato una velocità di crittografia record: ha cifrato 220.000 file in soli quattro minuti e mezzo, che è quasi la metà del tempo impiegato da LockBit 3.0.
Inoltre, questo malware è altamente personalizzabile: può ad esempio regolare il numero di thread di crittografia tramite un argomento della riga di comando per ottenere prestazioni ancora superiori.
Il ransomware Rorschach è notevole non solo per la sua velocità di crittografia record, ma anche perché contiene elementi noti copiati da altri ceppi di malware.
Inoltre, gli operatori di Rorschach non utilizzano un alias o marchi per promuovere il loro prodotto, il che è insolito in questo tipo di attività criminale. Ciò rende difficile identificare gli autori del ransomware e comprenderne la posizione nell’ecosistema del crimine informatico, da cui il nome Rorschach.
Sergey Shykevich, Threat Intelligence Group Manager di Check Point, ha spiegato così questa scelta: “Proprio come un test psicologico di Rorschach sembra diverso per ogni persona, questo nuovo esemplare ha caratteristiche tecnicamente distinte di alto livello prese da diverse famiglie di ransomware, che lo rendono speciale e diverso dalle altre famiglie di malware”.
Rorschach presenta diversi aspetti che lo distinguono da altri ceppi di ransomware: ad esempio, può svolgere autonomamente attività che di solito richiedono l’intervento manuale degli operatori. Inoltre, implementa uno schema di crittografia ibrida che è alla base della sua velocità di elaborazione.
Il ransomware utilizza messaggi di riscatto che prendono spunto da altre famiglie di malware e ha un elenco di servizi da interrompere ricavato da un altro ceppo di ransomware. La lista delle lingue utilizzate per bloccare il malware è ispirata a un altro ceppo ancora.
Infine, Rorschach utilizza il metodo di thread I/O Completion Ports che è stato visto in un altro ceppo di ransomware. Questo mix di tecniche e funzioni assemblate come un patchwork rende difficile per gli esperti individuare gli autori del malware e capire come si posiziona nell’ecosistema del crimine informatico.
Rorschach presenta anche alcune caratteristiche uniche, che lo rendono un prodotto più interessante rispetto a un semplice assemblaggio di altri malware.
Ad esempio, usa il sideload DLL e una vecchia versione dello strumento dump Cortex XDR di Palo Alto Networks per distribuirsi negli Stati Uniti, ma PAN ha emesso un avviso che le versioni più recenti di Cortex XDR possono rilevare e bloccare il ransomware.
Inoltre, utilizza syscall dirette per iniettare codice dannoso in altri processi, una tecnica rara nell’ecosistema ransomware.
“Questa tecnica è usata per eludere il rilevamento da parte di malware avanzato e sofisticato e non è comunemente osservata nel ransomware. L’implementazione di tali meccanismi rende molto più difficile rilevare il ransomware”, ha spiegato Shykevich.
Rorschach è parzialmente autonomo e può diffondersi in un ambiente senza l’interazione dell’utente, cancellando i registri eventi delle macchine interessate. Inoltre, è altamente flessibile e può modificare il suo comportamento in base alle esigenze dell’operatore, utilizzando numerosi argomenti opzionali oltre alla configurazione integrata.
Shykevich ha dichiarato: “Questo è il ransomware il più veloce e uno dei più sofisticati che abbiamo visto finora; segnala la rapida evoluzione degli attacchi informatici e la necessità per le aziende di implementare una soluzione di prevenzione che possa impedire a Rorschach di crittografare i dati”.
Apr 19, 2024 0
Apr 16, 2024 0
Apr 15, 2024 0
Apr 11, 2024 0
Apr 18, 2024 0
Apr 18, 2024 0
Apr 17, 2024 0
Apr 17, 2024 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 11, 2024 0
Secondo l’ultimo report di Sophos, “It’s Oh...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 19, 2024 0
Il mondo del cybercrimine continua a mettere in difficoltà...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 18, 2024 0
I ricercatori di Cisco Talos hanno individuato un...Apr 17, 2024 0
“In un contesto di crescente fragilità, gli sforzi di...Apr 17, 2024 0
I mantainer di PuTTY, il client open-source di SSH e...