New Rorschach ransomware is the fastest encryptor seen so far
หลังจากการโจมตีทางไซเบอร์ในบริษัทแห่งหนึ่งในสหรัฐอเมริกา นักวิจัยด้านมัลแวร์ได้ค้นพบแรนซัมแวร์ตัวใหม่ที่ชื่อว่า Rorschach ซึ่งจุดเด่นของแรนซัมแวร์ตัวนี้คือความเร็วในการเข้ารหัส จากการทดสอบของนักวิจัยทำให้พบว่า Rorschach เป็นแรนซัมแวร์ที่สามารถเข้ารหัสได้เร็วที่สุดในปัจจุบัน นักวิจัยจาก Check Point พบว่า Rorschach ถูกปรับใช้โดยใช้เทคนิค side-loading ของ DLL ผ่าน Cortex XDR ซึ่งเป็นผลิตภัณฑ์ที่ใช้ตรวจจับและตอบสนองภัยต่อคุกคามของ Palo Alto Networks ผู้โจมตีได้ใช้ Cortex XDR ในการ Dump Service Tool (cy.exe) เวอร์ชัน 7.3.0.16740 เพื่อดาวน์โหลด Rorschach และ injector (winutils.dll) ซึ่งนำไปสู่การเปิดใช้งานเพย์โหลดแรนซัมแวร์ config.ini ผ่าน Notepad ไฟล์ดาวน์โหลด Rorschach มีการป้องกันการวิเคราะห์แบบ UPX ในขณะที่เพย์โหลดหลักได้รับการปกป้องจากการทำ reverse engineering และ detection ในส่วนของโค้ดโดยใช้ซอฟต์แวร์ VMProtect
นอกจากนี้แรนซัมแวร์ Rorschach จะสร้าง Group Policy เมื่อดำเนินการบน Windows Domain Controller เพื่อเผยแพร่ไปยังโฮสต์อื่นบนโดเมน หลังจากโจมตีเครื่องโฮสต์แล้วมัลแวร์จะลบ event logs 4 รายการ (Application, Security, System และ Windows Powershell) เพื่อลบร่องรอยในการโจมตี การเข้ารหัสของแรนซัมแวร์ Rorschach นั้นจะเป็นรูปแบบการเข้ารหัสผสมผสานอัลกอริทึมการเข้ารหัสแบบ curve25519 และ eSTREAM cipher hc-128 ซึ่งจะเข้ารหัสไฟล์เพียงบางส่วน ทำให้ความเร็วในการประมวลผลเพิ่มขึ้น เพื่อค้นหาว่าการเข้ารหัสของ Rorschach นั้นเร็วเพียงใดนักวิจัยจาก Check Point จึงตั้งค่าการทดสอบด้วยไฟล์ 220,000 ไฟล์บนเครื่อง CPU 6-core ซึ่ง Rorschach ใช้เวลาเพียง 4.5 นาทีในการเข้ารหัสข้อมูล ในขณะที่ LockBit v3.0 ซึ่งถือว่าเป็นแรนซัมแวร์ที่เร็วที่สุดใช้เวลา 7 นาที
หลังจากเข้ารหัสระบบแล้วมัลแวร์จะทำการส่งบันทึกเรียกค่าไถ่ซึ่งคล้ายกับรูปแบบที่แรนซัมแวร์ Yanlowang ใช้ และในเวอร์ชันก่อนหน้านี้ได้ใช้บันทึกเรียกค่าไถ่คล้ายกับที่แรนซัมแวร์ DarkSide ใช้ นักวิจัยจาก Check Point กล่าวว่าความคล้ายคลึงกันนี้น่าจะเป็นสาเหตุให้นักวิจัยคนอื่นๆ เข้าใจผิดว่าแรนซัมแวร์ Rorschach เวอร์ชันอื่นเป็นแรนซัมแวร์ DarkSide ซึ่งในภายหลังได้เปลี่ยนชื่อเป็น BlackMatter ในปี 2021 นอกจากนี้นักวิจัยจาก Check Point ยังประเมินว่าแรนซัมแวร์ Rorschach ได้ใช้คุณสมบัติที่ดีกว่าจากแรนซัมแวร์ชั้นนำบางตัว เช่น Babuk, LockBit v2.0 และ DarkSide
https://www.bleepingcomputer.com/news/security/new-rorschach-ransomware-is-the-fastest-encryptor-seen-so-far/