ransomware.jpg

Novo ransomware usa ferramenta da Palo Alto em ataques

Hackers implantaram uma nova variedade exclusiva de ransomware usando a Cortex XDR Dump Service Tool, ferramenta de segurança da fornecedora
Da Redação
04/04/2023

Uma nova variante de ransomware, apelidada de Rorschach, foi descoberta pela Check Point Research (CPR) e Check Point Incident Response Team (CPIRT), usando a ferramenta de segurança Cortex XDR Dump Service Tool, da Palo Alto Networks, para se instalar.

“Ao contrário de outros casos de ransomware, o operador da ameaça não se escondeu atrás de nenhum pseudônimo e parece não ter afiliação com nenhum dos grupos de ransomware conhecidos”, escreveram Jiri Vinopal, Dennis Yarizadeh e Gil Gekker, da CPR, em um comunicado. “Esses dois fatos, raridades no ecossistema de ransomware, despertaram o interesse da CPR e nos levaram a analisar minuciosamente o malware recém-descoberto”, disseram.

Segundo os pesquisadores, o ransomware tem capacidade de autorreplicação quando executado em um controlador de domínio (DC). Também foi observado a limpeza dos logs de eventos dos dispositivos infectados. “Além disso, ele é extremamente flexível, operando não apenas com base em uma configuração integrada, mas também em vários argumentos opcionais que permitem alterar seu comportamento de acordo com as necessidades do operador”, escreveu a equipe da CPR no comunicado.

Outro aspecto apontado por eles é que, embora pareça ter se inspirado em algumas das famílias de ransomware mais conhecidas, também contém funcionalidades únicas, raramente vistas entre os ransomware, como o uso de syscalls diretos. Uma das semelhanças com as famílias de ransomware existentes é a formatação da nota de resgate, que se assemelha a do ransomware Yanluowang em alguns casos e ao DarkSide em outros.

Veja isso
Bug de PAN-OS da Palo Alto tem pontuação de 8.6 no CVSS
Firewalls da Palo Alto Networks podiam fazer ataques DDoS

“Assim como um teste psicológico de Rorschach parece diferente para cada pessoa, esse novo tipo de ransomware possui recursos tecnicamente distintos de alto nível, retirados de diferentes famílias de ransomware – tornando-o especial e diferente de outras famílias de ransomware”, explicou Sergey Shykevich, gerente do grupo de inteligência de ameaças da CPR.

De acordo com o especialista em segurança, o Rorschach é o ransomware mais rápido e um dos mais elaborados que a empresa já encontrou. “Isso fala da natureza em rápida mudança dos ataques cibernéticos e da necessidade de as empresas implantarem uma solução de prevenção que possa impedir o Rorschach de criptografar seus dados”, concluiu.

Compartilhar: