Rorschach: программа-вымогатель, которая шифрует данные быстрее, чем вы успеваете среагировать

В мире вымогательского ПО всегда была конкуренция, в которой злоумышленники пытаются улучшить скорость проведения атак, а организации постоянно защищаются от них. Скорость так важна, что RaaS -платформы (Ransomware-as-a-Service, вымогательское ПО как услуга) привлекают потенциальных аффилированных лиц, показывая скорость выполнения своих кампаний.

LockBit, одна из самых успешных вымогательских группировок, публично демонстрировала своё преимущество по сравнению с конкурентами по скорости шифрования. Но теперь появился новый игрок на рынке — Rorschach, который забрал у LockBit 3.0 титул «короля скорости шифрования».

Rorschach — это один из новых вариантов вымогательского ПО, который был впервые обнаружен в апреле 2023 года исследователями кибербезопасности Check Point . Rorschach является модифицированной версией кода вымогательского ПО Babuk. Rorschach привлекает внимание своей высокой скоростью, которая является критическим фактором как для злоумышленников, так и для защитников. Эксперты по кибербезопасности выделяют несколько аспектов, по которым Rorschach опережает другие программы-вымогатели.

Скорость распространения вредоносного ПО

Один из важных компонентов скорости — это способность быстро распространять вредоносное ПО как можно шире. В прошлом киберпреступники использовали различные техники для быстрого распространения, включая атаки на цепочку поставок и использование существующих инструментов кибербезопасности.

Однако Rorschach имеет интересную возможность самораспространения и автономности, которая использует объекты групповой политики домена Active Directory (AD GPO). Это позволяет вредоносному ПО быстро распространяться по сети и запускать программу-вымогатель на каждом конечном устройстве с ошеломляющей скоростью. Благодаря этому Rorschach продвинул границы дальше, чем когда-либо, с такими интересными методами самораспространения.

Для противодействия таким методам организациям необходимы инструменты, которые борются с самораспространением. Это может быть, например, технология активной защиты, которая справляется с вымогателем в режиме реального времени и обнаруживает злоумышленников как можно раньше.

Скорость шифрования данных для вымогательства

На конечных устройствах Windows создатели Rorschach тщательно выбрали потоковый шифр HC-128, который шифрует большие потоки данных с впечатляющей производительностью. Rorschach использует асимметричный метод обмена ключами, основанный на Curve25519. Метод эффективен как по вычислительной производительности, так и по потреблению памяти, при этом сохраняя высокий уровень безопасности.

Как и многие другие варианты вымогателей, включая LockBit и Babuk, Rorschach шифрует только части файла, а не всё его содержимое. Такой приём называется прерывистым шифрованием, который стал популярным в последние годы за свою эффективность и скорость.

Шифрование только частей файла существенно сокращает время шифрования. Уменьшая фазу шифрования, хакеры затрудняют обнаружение своей вредоносной активности. Шифрование данных — это видимая часть атаки, и злоумышленники сокращают это окно, чтобы улучшить свои шансы в борьбе против защитников.

Как и LockBit и другие известные программы-вымогатели, Rorschach также использует параллелизм и многопоточность для высокопроизводительного и быстрого шифрования. Поскольку реализация Rorschach адаптирована для каждого типа операционной системы, она использует порты завершения ввода-вывода (I/O) для эффективного многопоточного шифрования. Эта техника заимствована у LockBit 3.0, REvil, Hive, BlackMatter и DarkSide.

Важно отметить, что практически все современные варианты вымогателей уже выполняют шифрование данных очень быстро. К сожалению, все они намного быстрее ИБ-специалистов или инструментов безопасности.

Хотя Rorschach опережает конкурентов по скорости, программа-вымогатель на данный момент не крадёт данные для двойного вымогательства, в отличие от LockBit, которые сначала похищают данные предприятия, а затем шифруют их.

Способность обходить обнаружение

Одной из особенностей Rorschach является его способность обходить обнаружение, используя техники обфускации, действительных учётных записей пользователей и служб домена, а также техник подмены аргументов для скрытия истинных возможностей программы-вымогателя.

Такой метод обхода защиты – новизна для программ-вымогателей, но не для кибербезопасности. Для борьбы с техникой самораспространения Rorschach с использованием AD GPO и высокоскоростного шифрования защитникам нужны решения, которые могут обнаруживать и реагировать на новые и автономные возможности вымогателя в режиме реального времени.