قام باحثو الأمن السيبراني بإزالة سلالة برامج الفدية غير الموثقة سابقًا والتي تسمى Rorschach والتي تتسم بالتطور والسرعة.
قال Check Point Research في تقرير جديد: "ما يميز Rorschach عن سلالات برامج الفدية الأخرى هو المستوى العالي من التخصيص وميزاته الفريدة من الناحية الفنية التي لم يتم رؤيتها من قبل في برامج الفدية". "في الواقع ، يعد Rorschach أحد أسرع سلالات برامج الفدية التي تمت ملاحظتها على الإطلاق ، من حيث سرعة تشفيره."
قالت شركة الأمن السيبراني إنها لاحظت انتشار برامج الفدية ضد شركة غير مسماة مقرها الولايات المتحدة ، مضيفة أنها لم تجد أي علامات تجارية أو تداخلات تربطها بأي جهات فاعلة معروفة في السابق.
ومع ذلك ، يكشف التحليل الإضافي لشفرة مصدر Rorschach عن أوجه تشابه مع Babuk ransomware ، الذي تعرض للتسرب في سبتمبر 2021 ، و LockBit 2.0 . علاوة على ذلك ، يبدو أن أوراق الفدية المرسلة إلى الضحايا مستوحاة من ملاحظات Yanluowang و DarkSide .
يتمثل أهم جانب من جوانب التطفل في استخدام تقنية تسمى التحميل الجانبي لـ DLL لتحميل حمولة برامج الفدية ، وهي طريقة نادرًا ما يتم ملاحظتها في مثل هذه الهجمات. يمثل التطور تطورًا جديدًا في الأساليب التي تتبناها المجموعات ذات الدوافع المالية لتجنب الاكتشاف.
على وجه التحديد ، يُقال إن برنامج الفدية قد تم نشره عن طريق إساءة استخدام أداة خدمة Cortex XDR Dump Service Tool (cy.exe) من Palo Alto Network لتحميل مكتبة باسم "winutils.dll".
ومن الخصائص الفريدة الأخرى طبيعتها القابلة للتخصيص بدرجة كبيرة واستخدام عمليات الاتصال المباشر لمعالجة الملفات وتجاوز آليات الدفاع.
تم تكليف Rorschach ransomware أيضًا بإنهاء قائمة محددة مسبقًا من الخدمات ، وحذف وحدات تخزين الظل والنسخ الاحتياطية ، ومسح سجلات أحداث Windows لمحو أثر الطب الشرعي ، وتعطيل جدار حماية Windows ، وحتى حذف نفسه بعد إكمال إجراءاته.
يتم تحقيق الانتشار الداخلي من خلال المساس بوحدة التحكم بالمجال وإنشاء سياسة جماعية ، وفقًا لـ Check Point وشركة AhnLab الكورية الجنوبية للأمن السيبراني ، والتي نسبت سلسلة العدوى إلى DarkSide في وقت سابق من شهر فبراير.
تتخطى برامج الفدية ، مثل سلالات البرامج الضارة الأخرى التي لوحظت في البرية ، الأجهزة الموجودة في دول كومنولث الدول المستقلة (CIS) عن طريق التحقق من لغة النظام.
أوضح الباحثون Jiri Vinopal و Dennis Yarizadeh و Gil Gekker قائلاً: "تستخدم Rorschach Ransomware مخطط تشفير هجين عالي الفعالية وسريع ، يمزج بين خوارزميات curve25519 و eSTREAM hc-128 لأغراض التشفير".
تم تصميم هذه العملية لتشفير جزء معين فقط من محتوى الملف الأصلي بدلاً من الملف بأكمله ، وتستخدم طرق تحسين إضافية للمترجم تجعله "شيطان السرعة".
في خمسة اختبارات منفصلة أجرتها Check Point في بيئة خاضعة للرقابة ، تم تشفير 220.000 ملف باستخدام Rorschach في غضون أربع دقائق و 30 ثانية في المتوسط. من ناحية أخرى ، استغرق LockBit 3.0 حوالي سبع دقائق.
وقال الباحثون: "قام مطوروها بتطبيق تقنيات جديدة لمكافحة التحليل والتهرب الدفاعي لتجنب الاكتشاف وجعل الأمر أكثر صعوبة على البرامج الأمنية والباحثين لتحليل وتخفيف آثارها".
"بالإضافة إلى ذلك ، يبدو أن Rorschach قد أخذ بعضًا من أفضل الميزات من بعض برامج الفدية الرائدة التي تم تسريبها عبر الإنترنت ، ودمجها معًا. بالإضافة إلى قدرات Rorschach للنشر الذاتي ، فإن هذا يرفع مستوى هجمات الفدية."
تأتي النتائج في الوقت الذي قامت فيه Fortinet FortiGuard Labs بتفصيل عائلتين ناشئتين من برامج الفدية تسمى PayMe100USD ، وهي برنامج ضار لقفل الملفات قائم على Python ، و Dark Power ، والتي تمت كتابتها بلغة برمجة Nim .
تم رصد هجمات رورشاخ (المعروفة أيضًا باسم باب لوك) في آسيا وأوروبا والشرق الأوسط
قالت Group-IB ومقرها سنغافورة إنها حددت هجمات Rorschach التي تستهدف الشركات الصغيرة والمتوسطة والشركات الصناعية في جميع أنحاء آسيا وأوروبا والشرق الأوسط.
قال الباحثان في Group-IB Andrey Zhdanov و Vladislav Azersky: "إن عدم وجود [موقع تسرب البيانات] ، جنبًا إلى جنب مع طلبات الفدية المتواضعة نسبيًا التي تتراوح بين 50000 إلى 1000000 دولار أمريكي ، يسمح للمجموعة بالعمل خلسة والبقاء تحت الرادار" .
في الحادثة التي استهدفت شركة قطاع صناعي غير مسمى في أوروبا ، استفاد ممثلو التهديد من خطأ في تنفيذ التعليمات البرمجية عن بُعد يؤثر على تعاون Zimbra ( CVE-2022-41352 ، درجة CVSS: 9.8) للحصول على وصول أولي.
لم يستلزم الهجوم أي سرقة للبيانات قبل التشفير ، وبدلاً من ذلك ضغط الضحايا على الدفع من خلال التهديد بـ "مهاجمة شركتك مرة أخرى في المستقبل" و "حذف جميع بياناتك من شبكاتك".
نظير Linux ، وفقًا لـ Group-IB ، هو نسخة ثنائية ELF 32 بت مكتوبة في Go 1.18.3 ، بينما متغير ESXi هو برنامج 64 بت لنظام Linux بتنسيق ELF تم تجميعه باستخدام GNU Compiler (GCC). يعتمد كلا الإصدارين على كود مصدر Babuk ransomware الذي تم تسريبه.
قال الباحثون: "سيكون من المنطقي أكثر للجهات الفاعلة في التهديد استخدام برنامج أبسط يعتمد على بابوك لتشفير أنظمة Windows ، لكنهم فضلوا تطوير برنامجهم الخاص الأكثر تعقيدًا ، والذي لا يشبه بشكل عام العائلات الأخرى".
قالت Palo Alto Networks ، في نشرة إعلامية صدرت في 4 أبريل ، إنها على دراية بالهجمات التي تستفيد من أداة خدمة Cortex XDR Dump Service لتحميل حمولة Rorschach ، مضيفة أنها لا تؤثر على أنظمة macOS و Linux. ومن المتوقع أيضًا إصدار تصحيح لمعالجة المشكلة الأسبوع المقبل.
"عند إزالتها من دليل التثبيت الخاص بها ، يمكن استخدام أداة خدمة تفريغ Cortex XDR (cydump.exe) ، المضمنة مع وكيل Cortex XDR على Windows ، لتحميل مكتبات الارتباطات الديناميكية غير الموثوق بها (DLL) باستخدام تقنية تُعرف باسم DLL الجانبي- تحميل "، قالت شركة الأمن السيبراني .
"تستخدم Rorschach ransomware نسخة من هذه الأداة وهذه التقنية لتفادي الاكتشاف على الأنظمة التي ليس لديها حماية كافية لنقطة النهاية. عند تثبيت عامل Cortex XDR على Windows وتشغيل عملية Cortex XDR Dump Service Tool من مسار التثبيت ، ليس من الممكن تحميل مكتبات DLL مع هذه التقنية. "