İsrail siber güvenlik firması Check Point’teki araştırmacılar, yeni fidye yazılımına “Rorschach” adını verdiler. Olay müdahale ekiplerinin bunu, Amerika Birleşik Devletleri’nde bulunan bir şirketin karıştığı bir saldırıyı incelerken tespit ettiğini söylediler. Siber güvenlik alanındaki araştırmacılar, hâlihazırda dolaşımda olan en verimli fidye yazılımlarının bir karışımı olarak nitelendirdikleri yeni bir fidye yazılımı türüyle ilgili endişelerini dile getirdiler. Kötü amaçlı yazılım, bulaştığı tüm cihazların olay günlüklerini anında siler ve kendisini sistem genelinde yayar.
Araştırmacılar ona Rorschach adını verdiler çünkü ona bakan her birey, çok iyi bilinen psikolojik test gibi, biraz farklı bir şey gördü. Bu onlara isim vermeleri için ilham verdi.
Ortalama tahmini şifreleme süresi, LockBit gibi sık kullanılan fidye yazılımlarından birkaç dakika daha hızlıdır. Uzmanları hayrete düşüren tek husus bu değildi; çok daha fazlası vardı. Bu niteliklerden biri, verileri şifreleme hızıydı. LockBit’i kontrollü koşullarda beş bağımsız şifreleme performansı testinden geçirdiler ve testi yaptıktan sonra fidye yazılımının “şehirdeki yeni hız iblisi” olduğunu söylediler. Ek olarak, fidye yazılımı, kodunun çözülmesini zorlaştırmak için bir dosyanın tamamı yerine yalnızca belirli bölümlerini şifreleyen kendi türünün tek örneği şifreleme yöntemini kullanır. Bu, diğer fidye yazılımı şifreleme yöntemlerine kıyasla daha hızlı çalışmasına katkıda bulunan faktörlerden biridir.
İşletme tarafından Salı günü yayınlanan bir araştırmaya göre, Rorschach benzersiz görünüyor, çünkü onu başka herhangi bir fidye yazılımı türüyle kolayca tanımlayabilecek herhangi bir çakışma veya çoğunluğun özelliği olan bir tür markaya sahip değil. fidye yazılımı kuruluşları.
”
Fidye yazılımının bir kısmı özerktir ve saldırganların normalde manuel olarak gerçekleştirmeleri gereken işlemleri gerçekleştirmelerine olanak tanır ve zamanlarının bir kısmını boşaltır. Fidye yazılımı ayrıca saldırganların saldırılarını gerçekleştirmek için kullanabilecekleri çok çeşitli araçlara erişmesine olanak tanıyarak yüksek düzeyde değiştirilebilir.
Kötü amaçlı yazılım, kendisine özgü bir dizi özelliğe sahip olsa da, önceki fidye yazılımı türlerinden bazı öğeler de ödünç aldı. Kurbanlara gönderilen fidye mesajı, Yanluowang ve DarkSide örgütleri tarafından dağıtılanlara oldukça benziyordu. Ayrıca fidye yazılımının arkasındaki kod, Babuk ve LockBit fidye yazılımı türlerinin çalınan kaynak kodundan bazı ipuçları aldı.
Fidye yazılımı, yedeklemeleri silme ve güvenlik duvarları gibi kilit sistemlerin çalışmasını önleme yeteneğine sahiptir, bu da kurtarmayı çok daha zor hale getirir. Araştırmacılar, fidye yazılımının bir ortamı şifrelemenin yanı sıra güvenlik önlemlerini atlatmak için belirli özel stratejiler kullandığını öğrendiklerinde şaşırdılar.
Fidye yazılımını oluşturan programcılar ayrıca, kurbanın kullandığı dile bağlı olarak düzgün çalışmamasına neden olabilecek iki sistem kontrolü yapacak şekilde programlamaya özen gösterdiler. Dil, Bağımsız Devletler Topluluğu’nun (BDT) bir parçası olan bir ülkeden geliyorsa, fidye yazılımı düzgün çalışmaz. Operatörleri ve yaratıcıları da dahil olmak üzere Rorschach fidye yazılımının arkasında kimin olduğu şu anda net değil. Fidye yazılımı operasyonları için alışılmadık bir uygulama olan markalama kullanmıyorlar. Bu, muhtemelen deneyimli bir fidye yazılımı çetesi olduğunu gösteriyor.
Şu anda risk altyapısı uzmanı ve araştırmacı olarak çalışan bilgi güvenliği uzmanı.
Risk ve kontrol süreci, güvenlik denetimi desteği, iş sürekliliği tasarımı ve desteği, çalışma grubu yönetimi ve bilgi güvenliği standartları konularında 15 yıllık deneyim.