Araştırmacılar, Rorschach fidye yazılımının, daha önce hiç görülmemiş benzersiz kaçırma teknikleri nedeniyle şimdiye kadarki en hızlı fidye yazılımı olarak etiketlendiğini belirtiyor.
Check Point Research, şimdiye kadar keşfedilen en hızlı fidye yazılımı olarak gördükleri Rorschach adlı daha önce belgelenmemiş fidye yazılımının ayrıntılarını paylaştı. Araştırmacılar, adı açıklanmayan ABD merkezli bir örgütün Rorschach kurbanlarından biri olduğunu fark etti.
Artan sayıda fidye yazılımı saldırıları ve siber suçlular tarafından sürekli olarak yeni kaçırma tekniklerinin geliştirilmesi göz önüne alındığında, yeni fidye yazılımı türlerinin ortaya çıkması şaşırtıcı değil. Son zamanlarda, araştırmacılar yeni bir fidye yazılımı türünü keşfettiler. Cylance hem Linux hem de Windows cihazlarını hedefler.
Son Derece Etkili, Kaçamak ve Hızlı Şifrelemeli Fidye Yazılımı
Rorschach fidye yazılımının ayrıcalıklı bir özelliği, onu LockBit’ten bile daha hızlı, piyasadaki en hızlı fidye yazılımı yapan etkili, hızlı hibrit kriptografi şemasıdır.
Buna Hız Şeytanı adını veren Check Point araştırmacıları, kontrollü bir şifreleme hızı değerlendirmesinde fidye yazılımının 220.000 dosyayı dört buçuk dakikada şifrelediğini yazdı. Buna karşılık, LockBit aynı sayıda dosyayı yedi dakikada şifreledi.
Rorschach fidye yazılımı, gelişmiş şifreleme teknolojisine sahiptir ve bir etki alanı denetleyicisinde yürütülürse makinede otomatik olarak yayılabilir.
Üstelik bu, onu diğer fidye yazılımı türleri arasında öne çıkaran yeni işlevlerle donatılmış, oldukça yapılandırılabilir bir kötü amaçlı yazılımdır. Check Point araştırmacıları Jiri Vinopal, Dennis Yarizadeh ve Gil Gekker, “yüksek düzeyde özelleştirmeye” ve “fidye yazılımlarında daha önce görülmemiş teknik olarak benzersiz özelliklere” sahip olduğunu açıkladı. rapor.
“Aslında Rorschach, şifreleme hızı açısından şimdiye kadar gözlemlenen en hızlı fidye yazılımı türlerinden biridir.”
Ayrıca fidye yazılımı, doğrudan sistem çağrıları yoluyla elde ettiği analiz ve savunma mekanizmalarını atlamak için güvenlik önlemleriyle donatılmıştır. Bu, doğrudan sistem aramaları yapabilen ilk fidye yazılımıdır. Şimdiye kadar yalnızca kötü amaçlı yazılım aileleri bu özelliğe sahipti.
Rorschach başka bir Fidye Yazılımıyla Bağlantılı mı?
Diğer birkaç fidye yazılımından ilham almış gibi görünse de, Rorschach ne başka bir kötü amaçlı yazılım ailesiyle ne de başka bir fidye yazılımı grubuyla bağlantılıdır. Ancak araştırmacılar, Rorschach ve Rorschach arasında benzerlikler gözlemlediler. Fidye yazılımı sarhoş kaynak kodları.
Babuk’un kaynak kodunun sızdırılmış Eylül 2021’de. Rorschach tabanlı kampanyalarda kullanılan fidye notları DarkSide ve Yanluowang’dan ilham almıştır.
Rorschach Nasıl Yürütülür?
Fidye yazılımı yürütmesi temel olarak üç dosyaya dayanır. İlk olarak, yükleyici ve enjektör dosyası (winutils.dll) ile yandan yüklenen Cortex XDR Dump Service Tool (cy.exe) yürütülür. Bu DLL dosyası daha sonra fidye yazılımını (config.ini) belleğe yükler. Ayrıca notepad.exe içine enjekte edilir.
Rorschach, bazı işlemleri durdurmak, Windows olay günlüklerini temizlemek, gölge yedekleri ve birimleri silmek ve Windows güvenlik duvarlarını devre dışı bırakmak için birden çok işlem ve sahte argümanlar kullanır.
Fidye yazılımı bir etki alanı denetleyicisinde yürütüldüğünde, o etki alanındaki diğer aygıtlara otomatik olarak bulaşmasını sağlayan bir grup ilkesi oluşturur. Virüslü cihaz dilini kontrol eder ve BDT ülkelerinden, örneğin Rusya’dan bir dil algılanırsa sonlandırır.
ALAKALI HABERLER
- LockBit Fidye Yazılımı SpaceX Yüklenicisini Vurdu
- IRS vergi formları W-9 e-posta dolandırıcılığı Emotet kötü amaçlı yazılımını düşürür
- CISA, Erken Aşama Fidye Yazılımı Uyarıları Vermeye Başlayacak
- ALPHV fidye yazılımı Amazon’un Yüzüğü’nü hacklediğini iddia ediyor
- Rilide Kötü Amaçlı Yazılım – Kripto Hırsızı Chromium Tarayıcılarına Hitap Etti