Rorschach, el ‘ransomware’ más rápido de la historia
Esta nueva cepa destaca por su velocidad de cifrado, una alta personalización y la capacidad de propagación automática.
Un nuevo ransomware anda suelto. Una investigación de Check Point Research y el equipo de respuesta a incidentes CPIRT ha sacado a la luz a Rorschach.
“Cada persona que examinó el ransomware vio algo un poco diferente, lo que nos llevó a bautizarlo con el nombre del famoso test psicológico”, explican sus descubridores.
Este malware se diferencia de otras cepas de ransomware por su alta personalización y ciertas funcionalidades como el uso de syscalls directas.
Es parcialmente autónomo, se propaga de forma automática al ejecutarse en un controlador de dominio mientras borra registros de eventos y también se caracteriza por ser flexible y cambiar su comportamiento de acuerdo con las necesidades del operador.
Además, está considerado como el ransomware “más rápido de la historia” en cuanto a la velocidad de su cifrado.
Rorschach salió a la luz mientras Check Point respondía a un caso de ransomware contra una empresa estadounidense. Para desplegarse usó la carga lateral DLL de Cortex XDR Dump Service Tool de Palo Alto Networks. Este es un método poco utilizado para cargar ransomware.
Además, el autor de esta amenaza no se oculta con un alias ni parece encontrarse afiliado a grupos de ransomware ya conocidos.