Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Apr 07, 2023 Dario Orlandi Malware, Minacce, Minacce, News, Ransomware, RSS 0
Una nuova ricerca pubblicata da Check Point Research ha svelato per la prima volta una nuova tipologia di ransomware, denominata Rorschach, con caratteristiche innovative e piuttosto preoccupanti.
Il nuovo ransomware ha infatti mostrato una velocità di crittografia record: ha cifrato 220.000 file in soli quattro minuti e mezzo, che è quasi la metà del tempo impiegato da LockBit 3.0.
Inoltre, questo malware è altamente personalizzabile: può ad esempio regolare il numero di thread di crittografia tramite un argomento della riga di comando per ottenere prestazioni ancora superiori.
Il ransomware Rorschach è notevole non solo per la sua velocità di crittografia record, ma anche perché contiene elementi noti copiati da altri ceppi di malware.
Inoltre, gli operatori di Rorschach non utilizzano un alias o marchi per promuovere il loro prodotto, il che è insolito in questo tipo di attività criminale. Ciò rende difficile identificare gli autori del ransomware e comprenderne la posizione nell’ecosistema del crimine informatico, da cui il nome Rorschach.
Sergey Shykevich, Threat Intelligence Group Manager di Check Point
Sergey Shykevich, Threat Intelligence Group Manager di Check Point, ha spiegato così questa scelta: “Proprio come un test psicologico di Rorschach sembra diverso per ogni persona, questo nuovo esemplare ha caratteristiche tecnicamente distinte di alto livello prese da diverse famiglie di ransomware, che lo rendono speciale e diverso dalle altre famiglie di malware”.
Rorschach presenta diversi aspetti che lo distinguono da altri ceppi di ransomware: ad esempio, può svolgere autonomamente attività che di solito richiedono l’intervento manuale degli operatori. Inoltre, implementa uno schema di crittografia ibrida che è alla base della sua velocità di elaborazione.
Il ransomware utilizza messaggi di riscatto che prendono spunto da altre famiglie di malware e ha un elenco di servizi da interrompere ricavato da un altro ceppo di ransomware. La lista delle lingue utilizzate per bloccare il malware è ispirata a un altro ceppo ancora.
Infine, Rorschach utilizza il metodo di thread I/O Completion Ports che è stato visto in un altro ceppo di ransomware. Questo mix di tecniche e funzioni assemblate come un patchwork rende difficile per gli esperti individuare gli autori del malware e capire come si posiziona nell’ecosistema del crimine informatico.
Rorschach presenta anche alcune caratteristiche uniche, che lo rendono un prodotto più interessante rispetto a un semplice assemblaggio di altri malware.
Ad esempio, usa il sideload DLL e una vecchia versione dello strumento dump Cortex XDR di Palo Alto Networks per distribuirsi negli Stati Uniti, ma PAN ha emesso un avviso che le versioni più recenti di Cortex XDR possono rilevare e bloccare il ransomware.
Inoltre, utilizza syscall dirette per iniettare codice dannoso in altri processi, una tecnica rara nell’ecosistema ransomware.
“Questa tecnica è usata per eludere il rilevamento da parte di malware avanzato e sofisticato e non è comunemente osservata nel ransomware. L’implementazione di tali meccanismi rende molto più difficile rilevare il ransomware”, ha spiegato Shykevich.
Rorschach è parzialmente autonomo e può diffondersi in un ambiente senza l’interazione dell’utente, cancellando i registri eventi delle macchine interessate. Inoltre, è altamente flessibile e può modificare il suo comportamento in base alle esigenze dell’operatore, utilizzando numerosi argomenti opzionali oltre alla configurazione integrata.
Shykevich ha dichiarato: “Questo è il ransomware il più veloce e uno dei più sofisticati che abbiamo visto finora; segnala la rapida evoluzione degli attacchi informatici e la necessità per le aziende di implementare una soluzione di prevenzione che possa impedire a Rorschach di crittografare i dati”.
Lug 23, 2024 0
Lug 22, 2024 0
Lug 22, 2024 0
Lug 19, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...