Check Point Research 的網路安全研究人員發現,一家美國公司的網路上部署了一種新型勒索軟體。他們給他取了個綽號:羅夏墨跡(Rorschach)。據他們稱,這種惡意軟體除了非常複雜之外,速度也非常快。
透過分析羅夏墨跡密碼,專家發現:有史以來最快的勒索軟體之一,透過其加密速度。如果它的部署是自動化的。其設計者利用專業安全應用程式 Cortex XDR 的側面載入功能,將動態連結庫 (DLL) 下載到連接到目標公司網路的電腦上。一旦到位,它就會解壓縮惡意程式碼。然後透過以下腳本執行Windows記事本並複製到從網域控制器連接到網路的其他系統。從那裡,所有文件和磁碟都被加密。陷阱已就位。
羅夏墨跡測試在幾個方面與其他勒索軟體不同。一方面,勒索軟體未簽名然而,這種做法在網路勒索者中很普遍。此外,「它是部分自主的,執行通常在企業範圍內的勒索軟體部署期間手動完成的任務,例如建立網域群組原則»。
羅夏墨跡 (Rorschach) 領先 LockBit 榮獲最可怕勒索軟體獎
羅夏墨跡消除痕跡透過刪除 Windows 事件日誌。它還會刪除檔案或磁碟的自動或手動備份(磁碟區複製),以防止後者恢復,並且也會停用電腦的防火牆。
首先,羅夏墨跡測驗給研究人員留下了深刻的印象透過其執行速度。儘管Lockbit 被認為是目前最危險的勒索軟體分析師的測量結果毫無疑問:當 Lockbit 需要 7 分鐘加密 PC 本地 SSD 儲存上的 220,000 個檔案時,羅夏墨跡測驗只需要 4.5 分鐘即可完成相同的任務。分析師補充說,只要對惡意軟體進行更精細的調整,使其速度更快就足夠了。
來源 :檢查點研究
