Checkpoint安全研究人员发现一只新勒索软件Rorschach,在平均不到5分钟内即可完成系统文件加密,是加密速度最快的勒索软件之一。
Checkpoint安全回应中心研究人员是在一家美国企业客户系统发现这只崭新勒索软件,它利用一款经签章的商用安全软件组件部署到受害者计算机中,研究人员将之命名为Rorschach。
这只勒索软件在许多方面都很特别。它和其他勒索软件组织似乎没有联盟关系,也不像已知勒索软件具有品牌名。它的勒索软件消息格式类似Yanluowang,但其他变种则很像Darkside,以致曾被误认。
深层分析显示,Rorschach一些特征能和其他勒索软件很像,但更为高端。首先,不同于许多勒索软件感染企业系统时需要手动执行某些作业,像是创建域名群组政策(GPO),Rorschach则可将这些工作自动化,因而可通过域名控制器(domain controller)自动传播,还能清除受害机器的事件记录文件。过去只有LockBit 2.0有这等能力。
此外,Rorschach使用直接的系统调用(syscall)躲避防护机制,这就是首次在勒索软件见到的能力。它还使用特殊封装方法以防止安全人员分析。此外,它相当有弹性,除了原有配置,也提供定制化设置,可依据运营者需求改变其行为。
另一项特殊之处在于,Rorschach勒索软件使用极高效率的混合加密法,加密文件的部分内容,而非整个文件。分析其混合加密手法,研究人员判断可能来自Babuk勒索软件。此外,它也有效实例线程调度(thread scheduling),而且其汇编器也经过速度优化。研究人员指出,这些因素使这只勒索软件成为他们遇过加密最快的勒索软件之一。
研究人员比较Rorschach及去年最凶狠的勒索软件之一的LockBit v3,显示Lockbit v3平均加密时间为7分钟,而新勒索软件仅需4分钟30秒。而通过调整加密串数量,速度还可以再提高。
研究人员指出,Rorschach似乎集结了已知现有首要勒索软件的最佳功能于一,并以自动化方法自我繁殖,已提高了勒索软件攻击能力的水准。