Categories: AlertsCybersicherheit

Rorschach: Eine der schnellsten Ransomwares aller Zeiten

Check Point Research (CPR) warnt vor einer neuen Ransomware, die ein US-Unternehmen bereits angegriffen hat. Die Sicherheitsforscher nannten diese Rorschach und bezeichnen sie als eine der schnellsten Ransomwares aller Zeiten bezüglich der Geschwindigkeit bei der Verschlüsselung von Daten. Sie sei hochgradig anpassbar und verfüge über einzigartige Funktionen. Rorschach wurde bei diesem ersten entdeckten Angriff über DDL-Dateien eingeschleust, die nebenbei vom zertifizierten, kommerziellen Sicherheitsprodukt Cortex XDR Dump Service Tool der Cyber-Sicherheitsfirma Palo Alto Networks heruntergeladen werden. Dies sei eine ungewöhnliche Methode zur Einschleusung von Ransomware, so CPR, die von den Cyber-Kriminellen wohl gewählt wurde, um der Entdeckung zu entgehen. Palo Alto Networks wurde von Check Point bereits informiert. Kunden von Check Point werden bereits geschützt, wenn sie Harmony Endpoint nutzen, da dort die Anti-Ransomware-Komponente und der Behavioral Guard auf Aktivitäten im Netzwerk achten, die einer Ransomware ähneln.

Ransomware agiert teilweise autonom und verteilt sich automatisch

Anders, als aus der Szene bekannt, verstecken sich die Hacker nicht hinter einem Alias und haben wahrscheinlich keinen Bezug zu einer der bekannten Ransomware-Gruppen. Dies erregte umso mehr das Interesse der Sicherheitsforscher. Zu den einzigartigen Funktionen, die bei der Analyse entdeckt wurden, gehören: Die Ransomware kann teilweise autonom agieren und sich automatisch verteilen, wenn sie auf einem Domain Controller (DC) ausgeführt wird, wobei die Ereignis-Speicher (Log Files) der betroffenen Rechner gelöscht werden; sie ist extrem flexibel, weil sie einerseits viele eingebaute Konfigurationen besitzt und andererseits einige optionale Befehle durchführen kann, die eine Anpassung der Verhaltensweise der Ransomware an die jeweilige Situation und das Bedürfnis des Hackers zulassen; hinzu kommen direkte syscalls, was ebenfalls ungewöhnlich für eine Ransomware ist. Auf diese Weise kann Rorschach viele Aufgaben selbstständig durchführen, die sonst von Hand getätigt werden müssen, wie die Erstellung einer Sicherheitsrichtlinie im Stile eines Administrators (ähnlich wie LockBit 2.0).

Rorschach wurde von anderen berüchtigten Ransomwares inspiriert. Zum Beispiel ist die Lösegeldforderung ähnlich zu jener der Yanluowang-Ransomware, jedoch können auch welche ausgegeben werden, die der von DarkSide ähneln – was zur Verwechslung mit diesen führen kann. So sah jeder Sicherheitsforscher ein etwas anderes Ergebnis bei Betrachtung der Ransomware, weswegen der Name Rorschach gewählt wurde, nach dem bekannten psychologischen Test.

Die Infektion des Netzwerks läuft dabei durch drei Dateien ab:

cy.exe – Cortex XDR Dump Service Tool version 7.3.0.16740: wird missbraucht um winutils.dll zu laden.

winutils.dll – Gepackter Rorschach-Loader und -Injector: wird benutzt zur Entpackung und Einschleusung der Ransomware.

config.ini – Verschlüsselte Rorschach-Ransomware-Datei, welche die gesamte Programmlogik und Konfiguration enthält.

Bei der Ausführung von cy.exe wird aufgrund des DLL-Side-Loading der Loader und Injector winutils.dll in den Speicher geladen und im Kontext von cy.exe ausgeführt. Die wichtigste Rorschach-Nutzlast, die config.ini, wird anschließend ebenfalls in den Speicher geladen, entschlüsselt und in notepad.exe injiziert, wo die Ransomware-Programmlogik beginnt.

Roger Homrich

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

15 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

2 Tagen ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

2 Tagen ago