Check Point Research (CPR) и Check Point Incident Response Team (CPIRT) столкнулись с ранее безымянным штаммом ransomware, который назвали Rorschach и который был развернут против американской компании.
- Rorschach ransomware представляется уникальным, не имеющим никаких общих черт, которые могли бы легко отнести его к какому-либо известному штамму ransomware. Кроме того, на ней нет никакого брендинга, что является обычной практикой среди групп ransomware.
- Эта программа частично автономна, она выполняет задачи, которые обычно выполняются вручную при развертывании вымогательского ПО в масштабах предприятия, например, создание групповой политики домена (GPO). В прошлом подобная функциональность была связана с LockBit 2.0.
- Эта программа обладает высокой степенью настраиваемости и содержит технически уникальные функции, такие как использование прямых системных вызовов, что редко встречается в вымогательских программах. Кроме того, благодаря различным методам реализации, Rorschach является одной из самых быстрых ransomware по скорости шифрования.
- Ransomware была развернута с помощью боковой загрузки DLL из Cortex XDR Dump Service Tool, подписанного коммерческого продукта безопасности, - метод загрузки, который не часто используется для загрузки ransomware. Об уязвимости было должным образом сообщено в компанию Palo Alto Networks.
Indicators of Compromise
MD5
- 2237ec542cdcd3eb656e86e43b461cd1
- 4a03423c77fe2c8d979caca58a64ad6c
- 6bd96d06cd7c4b084fe9346e55a81cf9