Uma nova modalidade de ransomware foi revelada esta semana por especialistas em segurança, tendo capacidades avançadas e agindo de forma altamente veloz.
O Rorschach, como foi batizado, foi descoberto após o ataque a uma empresa nos Estados Unidos e teria uma capacidade de travar sistemas inteiros em pouco mais de quatro minutos, com rapidez superior à de outros malwares conhecidos do mercado.
O alerta foi dado pela Check Point Research, que chama a atenção para uma ameaça altamente sofisticada e capaz. Sem compartilhar códigos com outros ransomwares disponíveis no mercado, o Rorschach é capaz de escapar de sistemas de segurança para se implantar em sistemas e realizar as suas ações maliciosas, além de contar com recursos para maximizar os danos causados.
No caso da análise que levou à descoberta, a praga foi carregada no sistema juntamente com uma solução legítima de segurança, da empresa Palo Alto Networks.
Neste caso, os criminosos usaram o conhecido método de carregamento paralelo de DLLs, ou side loading, incluindo dados comprometidos num software legítimo, para que todos sejam carregados juntos e com consentimento do utilizador, que não sabe estar a ser acessório da contaminação enquanto realiza a instalação.
Ao mesmo tempo em que se espalha pela rede, o Rorschach também é capaz de limpar os registos de eventos das máquinas afetadas, numa tentativa de esconder a sua presença. O malware também tem diferentes módulos de atuação e é citado pela Check Point como parcialmente autónomo, alterando o seu comportamento de acordo com as necessidades do operador e combinando táticas para ampliar o poder.
Chamou a atenção dos investigadores, também, o facto de este ser um ataque aparentemente realizado por um grupo ainda desconhecido, já que não foram citadas afiliações na nota de resgate.
De acordo com a análise, tem semelhanças com as de bancos como DarkSide e Yanluowang, mas sem que a origem nestes dois grupos pudesse ser determinada, o que fez os especialistas pensarem num novo agente de ameaças.
De todas as capacidades técnicas do ransomware, o que mais chamou a atenção dos peritos foi a velocidade com a qual é capaz de travar os arquivos. Até ao momento, o malware utilizado pelo grupo LockBit era considerada o mais veloz, mas esse pódio, agora, tem um novo primeiro colocado, com o Rorschach a assumir a liderança.
De acordo com os testes realizados pela Check Point, o ransomware foi capaz de criptografar 220 mil arquivos em apenas 4 minutos e 30 segundos.
Isto numa unidade local, num computador com SSD, 6 CPUs e 8 GB de memória RAM, características de um PC empresarial comum e que demonstram a velocidade de ação de um malware que, juntamente com a furtividade apresentada, demonstra-se amplamente perigoso.
“Este novo ransomware tem recursos tecnicamente distintos, de alto nível, retirados de diferentes famílias, tornando-o especial e diferente”, aponta Sergey Shykevich, gerente do grupo de inteligência de ameaças da Check Point Software. “É o mais rápido e sofisticado que vimos até agora, sinalizando uma mudança na natureza dos ataques cibernéticos.”
Por enquanto, os ataques detetados pela equipa de segurança atingiram o sistema operativo Windows, mas a equipa da Check Point adianta que já existem indícios de versões que visam outras plataformas. As análises nesse sentido ainda estão a ser realizadas e devem ser divulgadas no futuro.
// Canaltech
