Suite à une cyberattaque sur une entreprise basée aux États-Unis, des chercheurs spécialisés en logiciels malveillants ont découvert ce qui semble être une nouvelle souche de ransomware présentant des « caractéristiques techniques uniques », qu’ils ont nommée Rorschach.
Parmi les capacités observées figure la vitesse de chiffrement qui, selon les tests des chercheurs, ferait de Rorschach la menace de ransomware la plus rapide à ce jour.
Les analystes ont constaté que les pirates informatiques ont déployé le logiciel malveillant sur le réseau de la victime après avoir exploité une faiblesse dans un outil de détection de menaces et de réponse aux incidents. Détails sur Rorschach
Des chercheurs de l’entreprise de cybersécurité Check Point, intervenant lors d’un incident dans une entreprise américaine, ont découvert que Rorschach était déployé en utilisant la technique de chargement latéral de DLL via un composant signé dans Cortex XDR, le produit de détection et de réponse étendue de Palo Alto Networks.
L’attaquant a utilisé l’outil Cortex XDR Dump Service (cy.exe) version 7.3.0.16740 pour charger latéralement le chargeur et l’injecteur de Rorschach (winutils.dll), ce qui a conduit au lancement de la charge utile du rançongiciel, « config.ini », dans un processus Notepad.
Le fichier chargeur présente une protection anti-analyse de style UPX, tandis que la charge utile principale est protégée contre l’ingénierie inverse et la détection en virtualisant certaines parties du code à l’aide du logiciel VMProtect.
Check Point rapporte que Rorschach crée une stratégie de groupe lorsqu’il est exécuté sur un contrôleur de domaine Windows pour se propager à d’autres hôtes sur le domaine.
Après avoir compromis une machine, le logiciel malveillant efface quatre journaux d’événements (Application, Sécurité, Système et Windows Powershell) pour effacer ses traces.
