La tecnología de Check Point Research (CPR) detectó en estos días un nuevo ransomware, sofisticado, evasivo y extremadamente rápido. Un ransomware es un tipo de virus que le impide a los usuarios acceder a sus propios archivos e información personal, dentro de su dispositivo. Conocido popularmente como “Rorschach”, sobrenombre puesto por la gente Check Point Research, esta nueva versión es más sofisticada que el ransomware tradicional, dado que combina tácticas de múltiples ataques conocidos junto con nuevas características únicas, las cuáles sirven para “maximizar el daño y la evasión de las soluciones de ciberseguridad“, según dijeron en la plataforma.
De acuerdo con lo dicho por Sergey Shykevich, el gerente del Grupo de Inteligencia de Amenazas en Check Point Research, este nuevo ramsomware “tiene renovadas características técnicamente distintas, tomadas de diferentes familias de esta raza de virus, lo cual lo vuelve especial y diferente de otros. Este ransomware es mucho más rápido y es uno de los más sofisticados que hemos visto hasta ahora”, dijo ante la prensa.
Logo de Check Point Research.
Shykevich destaca además la nueva “naturaleza rápidamente cambiante de los ataques cibernéticos”, lo cual trae consigo una necesidad para que las empresas “implementen una solución de prevención para evitar que Rorschach cifre sus datos”.
El virus “Rorschach”, un peligro inminente para los usuarios
Curiosamente, Rorschach surgió a través de la carga lateral de DLL de la herramienta de servicio de volcado Cortex XDR de Palo Alto Network, un producto de seguridad comercial firmado y de alta calidad probada. Este método de carga no es muy común para cargar ransomware y, por lo tanto, revela un nuevo enfoque adoptado por los ciberdelincuentes para evadir la detección. La vulnerabilidad que provocó el despliegue de Rorschach fue debidamente comunicada a Palo Alto Networks.
Un análisis de comportamiento del nuevo ransomware sugiere que es parcialmente autónomo y se propaga automáticamente cuando se ejecuta en un controlador de dominio (DC), mientras que borra los registros de eventos de las máquinas afectadas. Además, es sumamente flexible, operando no solo en base a una configuración incorporada, sino también a numerosos argumentos opcionales que le permiten cambiar su comportamiento de acuerdo con las necesidades del operador. Si bien parece haberse inspirado en algunas de las familias de ransomware más peligrosas, también posee funcionalidades únicas, que rara vez se ven entre los ransomware, como por ejemplo el uso de llamadas directas al sistema.
En el caso detectado, la “muestra” de ese ransomware enviada a la víctima contaba con un formato similar a otras enviada previamente, aunque las demás dieron lugar a una que se parecía más a las notas de ransomware DarkSide. Cada persona que examinó a esta raza virus, vio algo un poco diferente en cada ejemplar, lo que llevó a Check Point a nombrarlo en honor a la famosa prueba psicológica: Rorschach Ransomware.
