Check Point Research 的网络安全研究人员发现,一家美国公司的网络上部署了一种新型勒索软件。他们给他起了个绰号:罗夏墨迹(Rorschach)。据他们称,这种恶意软件除了非常复杂之外,速度也非常快。
通过分析罗夏墨迹密码,专家发现:有史以来最快的勒索软件之一,通过其加密速度。如果它的部署是自动化的。其设计者利用专业安全应用程序 Cortex XDR 的侧面加载功能,将动态链接库 (DLL) 下载到连接到目标公司网络的计算机上。一旦到位,它就会解压缩恶意代码。然后通过以下脚本执行Windows记事本并复制到从域控制器连接到网络的其他系统。从那里,所有文件和磁盘都被加密。陷阱已就位。
罗夏墨迹测试在几个方面与其他勒索软件不同。一方面,勒索软件未签名然而,这种做法在网络勒索者中很普遍。此外,“它是部分自主的,执行通常在企业范围内的勒索软件部署期间手动完成的任务,例如创建域组策略»。
罗夏墨迹 (Rorschach) 领先 LockBit 荣获最可怕勒索软件奖
罗夏墨迹消除痕迹通过删除 Windows 事件日志。它还会删除文件或磁盘的自动或手动备份(卷影复制),以防止后者恢复,并且还会停用计算机的防火墙。
首先,罗夏墨迹测试给研究人员留下了深刻的印象通过其执行速度。尽管Lockbit 被认为是目前最危险的勒索软件分析师的测量结果毫无疑问:当 Lockbit 需要 7 分钟加密 PC 本地 SSD 存储上的 220,000 个文件时,罗夏墨迹测验只需要 4.5 分钟即可完成相同的任务。分析师补充说,只要对恶意软件进行更精细的调整,使其速度更快就足够了。
来源 :检查点研究
