„Stejně jako psychologický Rorschachův test vypadá u každého člověka jinak, tak i tento nový typ ransomwaru mění svou podobu. Navíc spojuje nebezpečné funkce používané jinými ransomwary se zcela novými schopnostmi, takže se jedná o nejrychlejší a jeden z nejsofistikovanějších ransomwarů, které jsme dosud viděli. České organizace by měly být velmi obezřetné, protože od začátku roku sledujeme nárůst ransomwarových útoků, ve druhé polovině března čelila nějakému vyděračskému útoků dokonce každá 25. česká spo­leč­nost. S novými hrozbami, jako je Rorschach, se riziko ještě náso­bí. Organizace proto musí nasadit pokročilá preventivní řešení,“ říká Tomáš Růžička ze společnosti Check Point Software Technologies.

Ransomware Rorschach je částečně autonomní a dokáže se sám šířit, když je spuštěn na řadiči domény. Na napadených počítačích také vymaže protokoly událostí a je mimořádně flexibilní, aby mohl měnit své chování podle potřeb útočníků. Ačkoli se inspiroval některými známými ransomwarovými rodinami, obsahuje i unikátní funkce, které se u ransomwaru vyskytují jen zřídka, jako je například použití přímých systémových volání.

Některé varianty Rorschacha odesílají oběti žádost o výkupné, která připomíná vyděračskou zprávu ransomwaru Yanluowang. Ale jiné varianty napodobují vyděračské zprávy ransomwaru DarkSide. Zkrátka každý, kdo ransomware Rorschach zkoumal, viděl něco trochu jiného, proto byl tento ransomware pojmenován právě podle slavného psychologického testu.

Jedna z variant žádosti o výkupné, kterou oběti zobrazí ransomware Rorschach

Rorschach spouští procesy neobvyklým způsobem a komplikuje tak analýzu a odhalení. Navíc dokáže vypnout Windows firewall, mazat zálohy nebo zastavit některé služby.

Přestože se Rorschach používá výhradně k šifrování, obsahuje neobvyklou techniku, která umožňuje obejít obranné mechanismy. Provádí přímá systémová volání pomocí instrukce „syscall“ a i když jsme něco podobného viděli u jiných malwarů, u ransomwaru je to poměrně překvapivé.

Před zašifrováním systému provede Rorschach také systémovou kontrolu, která může útok zastavit:

• Používá funkce GetSystem­Default­UI­Language a GetUser­Default­UI­Language, aby zjistil, jaký jazyk uživatel používá.
• Útok se ukončí, pokud je se jedná o jazyk běžně používaný ve Společenství nezávislých států, kam patří Arménie, Ázerbájdžán, Bělorusko, Kazachstán, Kyrgyzstán, Rusko, Tádžikistán a Uzbekistán.

Ransomware Rorschach je unikátní také rychlostí šifrování dat. Využívá velmi efektivní hybridní šifrování, které zakóduje pouze určitou část původního souboru. Check Point provedl srovnání s jiným rychlým ransomwarem a Rorschach v testu jednoznačně překonal i nebezpečný ransomware LockBit v.3.

Rorschach je nová, extrémně nebezpečná hrozba. Dokáže se maskovat a vyhnout detekci a spojuje to nejlepší z různých ransomwarů, k čemuž přidává i další unikátní funkce. Dokáže sám šířit a tím zvyšuje laťku nebezpečnosti vyděračských útoků. Je proto důležitější více než kdy dříve, aby organizace byly proaktivní a používaly pokročilá preventivní bezpečnostní řešení, která je ochrání i před sofistikovanými útoky.

Více informací najdete v analýze výzkumného týmu Check Point Research: https://research.checkpoint.com/2023/rorschach-a-new-sophisticated-and-fast-ransomware/