I ricercatori di Check Check Point Research (CPR) e Check Point Incident Response Team (CPIRT) hanno rilevato un nuovo ransomware, soprannominato Rorschach, con caratteristiche uniche. È uno dei ransomware più veloci osservati per la velocità di crittografia record: ha cifrato 220.000 file in soli quattro minuti e mezzo. Inoltre, è altamente personalizzabile e contiene funzionalità tecnicamente uniche, come l’uso di chiamate di sistema dirette, raramente osservate.

Il CPIRT di Check Point si è rimbattuto in questo nuovo ceppo di ransomware in risposta a un caso di ransomware contro una società con sede negli Stati Uniti, distribuito utilizzando un componente firmato di un prodotto di sicurezza commerciale. A differenza di altri casi di ransomware, l’autore della minaccia non si è nascosto dietro alcun alias e sembra non avere alcuna affiliazione a nessuno dei gruppi di ransomware conosciuti. Questi due fatti, rarità nell’ecosistema del ransomware, hanno suscitato l’interesse di CPR e hanno spinto i ricercatori ad analizzare a fondo il malware appena scoperto.

Rorschach ha mostrato caratteristiche uniche. Un’analisi comportamentale suggerisce che sia in parte autonomo, diffondendosi automaticamente quando eseguito su un controller di dominio (DC), mentre cancella gli event log delle macchine interessate. Inoltre, è estremamente flessibile, operando non solo sulla base di una configurazione integrata ma anche su numerosi argomenti opzionali che gli consentono di modificare il proprio comportamento in base alle esigenze dell’operatore. Anche se sembra essersi ispirato ad alcune delle più famigerate famiglie di ransomware, contiene anche funzionalità uniche, raramente viste tra i ransomware, come l’uso di chiamate di sistema dirette.

La nota ransomware inviata alla vittima è formattata in modo simile alle note ransomware Yanluowang, sebbene altre varianti abbiano rilasciato una nota che somigliava alle note ransomware DarkSide.

L’esecuzione di Rorschach utilizza tre file:

  • cy.exe – Cortex XDR Dump Service Tool versione 7.3.0.16740, abusato per il caricamento laterale winutils.dll
  • winutils.dll: Packed Rorschach loader e injector, utilizzato per decrittografare e iniettare il ransomware.
  • config.ini – Ransomware Rorschach crittografato che contiene tutta la logica e la configurazione.

All’esecuzione di cy.exe, a causa del sideload DLL, il loader/injector winutils.dll. viene caricato in memoria e viene eseguito nel contesto di cy.exe. Anche il payload principale di Rorschach config.ini viene successivamente caricato in memoria, decifrato e iniettato in notepad.exe, dove inizia la logica del ransomware.

Rorschach genera processi in un modo insolito, eseguendoli in modalità SUSPEND e fornendo argomenti falsificati per rafforzare l’analisi e gli sforzi di correzione. L’argomento falsificato consiste in una stringa ripetuta della cifra 1 basata sulla lunghezza dell’argomento reale, riscritta in memoria e sostituita con l’argomento reale, risultando in un’esecuzione unica.

Il ransomware utilizza questa tecnica per:

  • Tentare di arrestare un elenco predefinito di servizi, utilizzando net.exe stop.
  • Eliminare i volumi shadow e i backup per rafforzare il ripristino, utilizzando strumenti Windows legittimi come vssadmin.exe, bcdedit.exe, wmic.exeewbadmin.exe
  • Eseguire wevutil.exe per cancellare i log di Windows: Applicazione, Sicurezza, Sistema e Windows Powershell.
  • Disabilitare il firewall di Windows, utilizzando netsh.exe.

 Quando viene eseguito su un controller di dominio Windows (DC), il ransomware crea automaticamente un Group Policy, diffondendosi ad altre macchine all’interno del dominio nel seguente modo:

  1. Rorschach copia i suoi file nella cartella degli script del controller di dominio e li elimina dalla posizione originale.
  2. Rorschach crea quindi un group policy che si copia nella cartella %Public% di tutte le workstation nel dominio.
  3. Il ransomware crea un altro group policy nel tentativo di distruggere un elenco di elenchi predefiniti di processi. Questo viene fatto creando un’attività di pianificazione che richiama taskkill.exe.
  4. Infine, Rorschach crea un altro group policy che registra un’attività pianificata che viene eseguita immediatamente e all’accesso dell’utente, per eseguire l’eseguibile principale di Rorschach con gli argomenti pertinenti.

Oltre a questo comportamento insolito, lo stesso binario Rorschach contiene ulteriori caratteristiche interessanti, che lo differenziano ulteriormente da altri ransomware.

Sebbene Rorschach sia utilizzato esclusivamente per crittografare un ambiente, incorpora una tecnica insolita per eludere i meccanismi di difesa. Effettua chiamate di sistema dirette utilizzando l’istruzione “syscall”. Sebbene precedentemente osservato in altri ceppi di malware, è abbastanza sorprendente vederlo nel ransomware.

La procedura prevede l’utilizzo dell’istruzione stessa e procede come segue:

  1. Il ransomware trova i numeri di chiamata di sistema rilevanti per le API NT, principalmente legati alla manipolazione dei file.
  2. Rorschach, quindi, memorizza i numeri in una tabella per un uso futuro.
  3. Quando necessario, chiama una routine stub che utilizza il numero direttamente con l’istruzione syscall invece di utilizzare l’API NT.

In altre parole, il malware crea prima una tabella di chiamate di sistema per le API NT utilizzate per la crittografia dei file e alla fine della tabella c’è una sezione con i relativi numeri di chiamata di sistema.

Oltre alla configurazione hardcoded, il ransomware è dotato di molteplici opzioni integrate, probabilmente per il comfort degli operatori, tutte nascoste, offuscate e non accessibili senza il reverse engineering del ransomware.

Prima di crittografare il sistema di destinazione, l’esempio esegue due controlli di sistema che possono interromperne l’esecuzione: utilizza GetSystemDefaultUILanguage e GetUserDefaultUILanguage per determinare quale lingua sta utilizzando l’utente, ed nesce se il valore di ritorno è comunemente usato nei paesi della CSI.

In merito al processo di crittografia, Rorschach utilizza uno schema di crittografia ibrida altamente efficace e veloce, che combina gli algoritmi curve25519 ed eSTREAM cipher hc-128.  Questo processo crittografa solo una parte specifica del contenuto del file originale anziché l’intero file. La WinAPI CryptGenRandom viene utilizzata per generare byte crittograficamente casuali utilizzati come chiave privata per la vittima. Il segreto condiviso viene calcolato tramite curve25519, utilizzando sia la chiave privata generata che una chiave pubblica hardcoded. Infine, l’hash SHA512 calcolato del segreto condiviso viene utilizzato per costruire KEY e IV per la crittografia eSTREAM hc-128.

L’analisi della routine di crittografia di Rorschach suggerisce anche un’implementazione altamente efficace della pianificazione dei thread tramite le porte di completamento I/O. Inoltre, sembra che l’ottimizzazione del compilatore abbia la priorità per la velocità, con gran parte del codice incorporato. Tutti questi fattori fanno pensare che si tratti di uno dei ransomware più veloci in circolazione.

I ricercatori, al fine di verificare questa ipotesi, hanno condotto cinque test di velocità di crittografia separati in un ambiente controllato (con 6 CPU, 8192 MB di RAM, SSD e 220000 file da crittografare), limitati alla sola crittografia dell’unità locale., confrontando Rorschach con il famigerato LockBit v.3.

Si è scoperto che il ransomware Rorschach è tra i più veloci e che è altamente personalizzabile.

I ricercatori hanno anche notato che Rorschach utilizza una varietà di metodi consolidati insieme ad alcune nuove idee nel settore del ransomware. Il nome stesso, “Rorschach”, si spiega da sé; con un profondo reverse engineering del codice e della sua logica, sono state trovate alcune somiglianze con alcuni dei gruppi di ransomware tecnicamente più avanzati e consolidati.

Gli esperti sospettano che questa routine sia stata presa in prestito dal codice sorgente trapelato del ransomware Babuk.

L’ispirazione di Rorschach da Babuk è evidente in varie routine, comprese quelle responsabili dell’arresto di processi e servizi. In effetti, il codice utilizzato per arrestare i servizi tramite il gestore di controllo dei servizi sembra essere stato copiato direttamente dal codice sorgente di Babuk, spiegano i ricercatori.

Vale anche la pena notare che l’elenco dei servizi da arrestare nella configurazione di Rorschach è identico a quello nel codice sorgente di Babuk trapelato. Tuttavia, l’elenco dei processi da arrestare differisce leggermente, poiché Rorschach omette notepad.exe, che viene utilizzato come destinazione per l’iniezione di codice.

Rorahsach prende ispirazione anche da un altro ceppo di ransomware, LockBit: l’elenco delle lingue utilizzate per bloccare il malware è esattamente lo stesso elenco utilizzato in LockBit v2.0 (sebbene l’elenco sia comunemente utilizzato da molti gruppi di lingua russa e non solo da LockBit). Tuttavia, il metodo I/O Completion Ports della pianificazione dei thread è un altro componente in cui Rorschach ha tratto ispirazione da LockBit. La ridenominazione finale dei file macchina crittografati in Rorschach viene implementata utilizzando NtSetInformationFileFileInformationClass, FileRenameInformation proprio come in LockBit v2.0.

I ricercatori aggiungono che Rorschach ha preso il meglio dalle famiglie di ransomware con la più alta reputazione, e poi ha aggiunto alcune caratteristiche uniche.

“La nostra analisi di Rorschach rivela l’emergere di un nuovo ceppo di ransomware nel panorama del crimeware. I suoi sviluppatori hanno implementato nuove tecniche anti-analisi e di evasione della difesa per evitare il rilevamento e rendere più difficile per i software di sicurezza e i ricercatori analizzare e mitigare i suoi effetti. Inoltre, sembra che Rorschach abbia preso alcune delle “migliori” funzionalità di alcuni dei principali ransomware trapelati online e le abbia integrate tutte insieme. Oltre alle capacità di autopropagazione di Rorschach, questo alza il livello degli attacchi di riscatto. Gli operatori e gli sviluppatori del ransomware Rorschach rimangono sconosciuti. Non usano il marchio, che è relativamente raro nelle operazioni ransomware.I nostri risultati sottolineano l’importanza di mantenere solide misure di sicurezza informatica per prevenire gli attacchi ransomware, nonché la necessità di un monitoraggio e un’analisi continui di nuovi campioni di ransomware per stare al passo con le minacce in evoluzione. Poiché questi attacchi continuano a crescere in frequenza e sofisticazione, è essenziale che le organizzazioni rimangano vigili e proattive nei loro sforzi per proteggersi da queste minacce”, conclude Check Point.

https://research.checkpoint.com/2023/rorschach-a-new-sophisticated-and-fast-ransomware/

Twitter
Visit Us
LinkedIn
Share
YOUTUBE