Výzkumný tým společnosti Check Point Software varuje před novým sofistikovaným ransomwarem Rorschach, který se dokáže skrývat před bezpečnostními řešeními, extrémně rychle zašifruje data a ochromí tak celou organizaci.
Rorschach kombinuje taktiky a techniky jiných ransomwarů, navíc přidává další unikátní funkce, takže se jedná o ultimátní kybernetickou zbraň. Rychlost šifrování je nevídaná, jde o téměř dvojnásobek rychlosti šifrování obávaného ransomware LockBit. Zatímco průměrná rychlost šifrování LockBitu je 7 minut, Rorschach to zvládne za 4 minuty a 30 sekund.
Útočníci, kteří používají Rorschach se na rozdíl od jiných případů neskrývají za žádnou přezdívkou a zdá se, že ransomware není napojen ani na žádnou ze známých ransomwarových skupin.
Jedna z variant žádosti o výkupné, kterou oběti zobrazí ransomware Rorschach. | Zdroj: TZ Check Point
Ransomware Rorschach je částečně autonomní a dokáže se sám šířit, když je spuštěn na řadiči domény. Na napadených počítačích také vymaže protokoly událostí a je mimořádně flexibilní, aby mohl měnit své chování podle potřeb útočníků. Ačkoli se inspiroval některými známými ransomwarovými rodinami, obsahuje i unikátní funkce, které se u ransomwaru vyskytují jen zřídka, jako je například použití přímých systémových volání.
Některé varianty Rorschacha odesílají oběti žádost o výkupné, která připomíná vyděračskou zprávu ransomwaru Yanluowang. Ale jiné varianty napodobují vyděračské zprávy ransomwaru DarkSide. Zkrátka každý, kdo ransomware Rorschach zkoumal, viděl něco trochu jiného, proto byl tento ransomware pojmenován právě podle slavného psychologického testu.
České organizace by měly být velmi obezřetné, protože Check Point od začátku roku sleduje nárůst ransomwarových útoků. Ve druhé polovině března čelila nějakému vyděračskému útoků dokonce každá 25. česká společnost. S novými hrozbami, jako je Rorschach, se riziko ještě násobí.
8 foto
