Total Pageviews

Blog Archive

Procura neste Blog

ITO-NeTthings. Com tecnologia do Blogger.

Check Point Researchers revela "Rorschach", o Ransomware mais rápido de sempre

Check Point Researchers revela "Rorschach", o Ransomware mais rápido de sempre
Share it:

 Check Point Researchers revela "Rorschach", o Ransomware mais rápido de sempre


A Check Point Research (CPR) e a Check Point Incident Response Team (CPIRT) detetaram uma estirpe, anteriormente anónima, de ransomware, agora denominada "Rorschach", utilizada contra uma empresa sediada nos EUA.

Altamente personalizável e com características tecnicamente únicas nunca vistas em ransomware, o Rorschach é um dos ransomware mais rápidos de sempre.

O ransomware foi implementado através do uso de um DLL side-loading do Cortex XDR da empresa Palo Alto Network, um produto de segurança comercial assinado, num método de carregamento não utilizado de forma comum para carregar o ransomware. A informação foi devidamente divulgada à Palo Alto Networks.


Toda a gente vê coisas diferentes

A Check Point Research (CPR) está sempre atenta a novos e emergentes ataques e tendências de cibersegurança. Hoje, a CPR e a CPIRT estão a chamar a atenção para uma nova e mais sofisticada estirpe de ransomware que anteriormente nem tinha nome. Denominado "Rorschach" pelos nossos investigadores, este "ransomware" foi utilizado num ataque contra uma empresa sediada nos EUA.

O que faz com que Rorschach se destaque de outras estirpes de ransomware é o seu nível elevado de personalização e as suas características tecnicamente únicas que nunca tinham sido vistas em ransomware. De facto, o Rorschach é uma das estirpes de ransomware mais rápidas de sempre, no que toca à velocidade da sua encriptação.

Curiosamente, o Rorschach foi implementado através da utilização de um DLL side-loading da ferramenta Cortex XDR Dump da empresa Palo Alto Network, um produto de segurança comercial assinado. Este método de carregamento não é vulgarmente utilizado para carregar ransomware, e, assim, revela uma nova abordagem adotada pelos cibercriminosos para escapar à deteção. A vulnerabilidade que permitiu a implementação do Rorschach foi devidamente revelada à empresa Palo Alto Networks.


O que é que descobrimos?

Enquanto respondia a um caso de ransomware contra a empresa sediada nos EUA, o nosso CPIRT deparou-se recentemente com uma estirpe única de ransomware implementada através de um componente do Cortex XDR da Palo Alto Network, um produto de segurança comercial. Ao contrário de outros casos de ransomware, o ator da ameaça não se escondeu atrás de um pseudónimo e parece não ter qualquer afiliação a nenhum dos grupos de ransomware conhecidos. Estes dois factos, raridades no ecossistema do ransomware, despertaram o interesse da CPR e levaram-nos a analisar minuciosamente o malware recentemente descoberto.


Velocidade nunca vista e características muito pouco comuns em ransomware

Ao longo de toda a sua análise, o novo ransomware exibiu características únicas. Uma análise comportamental do novo ransomware sugere que é parcialmente autónomo, espalhando-se automaticamente quando executado num Domain Controller (CD), enquanto limpa os registos de eventos dos dispositivos afetados. Além disso, é extremamente flexível, funcionando não só com base numa configuração incorporada, mas também em numerosos argumentos opcionais que lhe permitem alterar o seu comportamento de acordo com as necessidades do operador. Embora pareça ter-se inspirado em algumas das mais infames famílias de ransomware, também contém funcionalidades únicas, raramente vistas entre os ransomwares, tais como a utilização de syscalls diretos.

A nota de ransomware enviada à vítima foi formatada de forma semelhante às notas de ransomware Yanluowang, embora outras variantes tenham apresentado uma nota que mais se assemelhava às notas de ransomware do DarkSide (fazendo com que algumas se referissem erroneamente a ela como DarkSide). Cada pessoa que examinava o ransomware viu algo um pouco diferente, o que nos levou a dar-lhe o nome do famoso teste psicológico - Rorschach Ransomware.


Nota Ransom do Rorschach

Para a análise completa do Rorschach visite research.checkpoint.com 


Clientes Check Point permanecem protegidos contra o Rorschach Ransomware

O Harmony Endpoint fornece proteção duradoura contra o ransomware com remediação automática instantânea, mesmo em modo offline. No caso de uma anomalia causada por um ransomware, as capacidades do Harmony Endpoint anti-ransomware e da Guarda Comportamental identificam, bloqueiam e corrigem toda a cadeia de ataque.

Ao correr num dispositivo infetado com o Rorschach ransomware, o Harmony Endpoint Anti-ransomware detetou o processo de encriptação em diferentes pastas, incluindo modificações feitas nos ficheiros 'honeypot' do Harmony Endpoint. Executou um algoritmo de classificação que forneceu um veredito identificando o processo como um "ransomware".

O processo de ataque em árvore foi calculado e o Harmony Endpoint eliminou todos os processos maliciosos para bloquear o ataque. A componente de remediação apagou então todos os ficheiros encriptados, incluindo os processos maliciosos, e restaurou-os para o seu estado original, utilizando a cópia de segurança do sistema.

Para ajudar a investigar o ataque, o Harmony Endpoint fornece um relatório forense completo incluindo um ataque em árvore e um mapeamento MITRE completo.

Como se vê neste relatório forense, o Harmony Endpoint detetou o ataque, classificou-o como um ransomware e pôs fim a 100% de todos os processos maliciosos. Durante a correção, eliminou ou colocou em quarentena 100% dos ficheiros afetados e restaurou-os para a sua forma original (exceto os ficheiros do honeypot).

Graças a estas capacidades, o ataque é bloqueado sem afetar a continuidade do negócio.


O Harmony Endpoint anti-ransomware fornece capacidades avançadas adicionais contra ataques de ransomware, incluindo encriptação sofisticada com base em volume e ataques wiper. Também impede a utilização de ferramentas legítimas como agentes de ransomware.

Proteja-se do ransomware com o Harmony Endpoint. Convidamo-lo a agendar uma demonstração privada ou a iniciar um teste gratuito.

Share it:

info

Post A Comment:

0 comments: