Специалисты Check Point изучили новое вредоносное приложение Rorschach, которое шифрует файлы на атакованном устройстве для последующего шантажа. Главные особенности вируса – высокая скорость работы и использование в процессе проникновения подписанного компонента коммерческого ПО.
В публикации отмечается, что для развертывания шифровальщика используется алгоритм боковой загрузки DLL, для чего используется модуль Cortex XDR, входящий в состав пакета Palo Alto Networks. При этом файл основного загрузчика имеет сложную защиту от анализа, а основной модуль имеет защиту от детектирования и реверс инжиниринга. В последнем случае используется виртуализация кода при помощи технологии VMProtect.
Эксперты также обнаружили, что вирус способен создавать на контроллере домена собственную групповую политику и использовать ее для распространения своей копии на другие хосты в составе домена. В случае успешной атаки утилита также предпринимает ряд шагов для скрытия своей деятельности. В частности удаляется содержимое журналов Windows Powershell, Security, System и Application.
Rorschach инициирует шифрование данных, только если язык системе не относится к одной из стран СНГ. Для шифрования используется схема, основанная на алгоритмах eSTREAM hc-128 и curve25519. Высокая скорость изменения файлов обеспечивается за счет частичного шифрования.
Для оценки скорости работы использовался тестовый ПК на базе 6-ядерного ЦП и набор из 220 тысяч файлов. Массив данных был зашифрован всего за 4,5 минуты. Утилита LockBit 3.0, которая ранее была лидером в данной категории, с аналогичной задачей справилась только за 7 минут.