Investigadores de Check Point revelan «Rorschach», el ransomware más rápido nunca antes visto

DESCARGAR GACETILLA EN FORMATO WORD + IMÁGENES

Check Point Research (CPR) detectó un nuevo ransomware, sofisticado, evasivo y extremadamente rápido. Apodado «Rorschach» por Check Point Research, es más sofisticado que el ransomware tradicional y combina tácticas de múltiples ataques conocidos más nuevas características únicas, para maximizar el daño y la evasión de las soluciones de ciberseguridad.

Según Sergey Shykevich, Gerente del Grupo de Inteligencia de Amenazas en Check Point Research: “Así como una prueba psicológica de Rorschach se ve diferente para cada persona, este nuevo tipo de ransomware tiene altos niveles de características técnicamente distintas tomadas de diferentes familias de ransomware, lo que lo hace especial y diferente de otros. Este es el ransomware más rápido y uno de los más sofisticados que hemos visto hasta ahora. Habla de la naturaleza rápidamente cambiante de los ataques cibernéticos y de la necesidad de que las empresas implementen una solución de prevención que pueda evitar que Rorschach cifre sus datos”.

Curiosamente, Rorschach se implementó mediante la carga lateral de DLL de la herramienta de servicio de volcado Cortex XDR de Palo Alto Network, un producto de seguridad comercial firmado. Este método de carga no se usa comúnmente para cargar ransomware y, por lo tanto, revela un nuevo enfoque adoptado por los ciberdelincuentes para evadir la detección. La vulnerabilidad que permitió el despliegue de Rorschach fue debidamente comunicada a Palo Alto Networks.

Un análisis de comportamiento del nuevo ransomware sugiere que es parcialmente autónomo y se propaga automáticamente cuando se ejecuta en un controlador de dominio (DC) mientras borra los registros de eventos de las máquinas afectadas. Además, es extremadamente flexible, operando no solo en base a una configuración incorporada, sino también a numerosos argumentos opcionales que le permiten cambiar su comportamiento de acuerdo con las necesidades del operador. Si bien parece haberse inspirado en algunas de las familias de ransomware más peligrosas, también contiene funcionalidades únicas, que rara vez se ven entre los ransomware, como el uso de llamadas directas al sistema.

En el caso detectado, la nota de ransomware enviada a la víctima tenía un formato similar a las notas de ransomware de Yanluowang, aunque otras variantes dejaron caer una que se parecía más a las notas de ransomware DarkSide (lo que provocó que algunos se refirieran erróneamente a ella como DarkSide). Cada persona que examinó el ransomware vio algo un poco diferente, lo que llevó a Check Point a nombrarlo en honor a la famosa prueba psicológica: Rorschach Ransomware.

 

---

 

Acerca de Check Point Software Technologies Ltd.

Check Point Software Technologies Ltd. es un proveedor líder de soluciones de ciberseguridad para empresas y gobiernos de todo el mundo.  La cartera de soluciones de Check Point Infinity protege a las empresas y organizaciones públicas de los ciberataques de 5ª generación con una tasa de captura líder en la industria de malware, ransomware y otras amenazas. Infinity se compone de cuatro pilares fundamentales que ofrecen una seguridad sin compromisos y una prevención de amenazas de quinta generación en todos los entornos empresariales: Check Point Harmony, para usuarios remotos; Check Point CloudGuard, para proteger automáticamente los entornos cloud; y Check Point Quantum, para proteger los perímetros de la red y los centros de datos, todo ello controlado por la gestión de seguridad unificada más completa e intuitiva de la industria; Check Point Horizon, una suite de operaciones de seguridad que da prioridad a la prevención. Check Point Software protege a más de 100.000 organizaciones de todos los tamaños.

 

©2022 Check Point Software Technologies Ltd. Todos los derechos reservados.