Check Point Research (CPR) 和 Check Point 事件响应团队 (CPIRT) 的研究人员检测到一种前所未见的勒索软件,被称为 Rorschach 勒索软件,主要用于用于攻击一家美国公司。
专家指出,Rorschach勒索软件是独一无二的。根据Check Point发布的报告,Rorschach是迄今为止观察到的最快的勒索软件之一。
与其他勒索软件不同的是,新发现的Rorschach勒索病毒没有与任何以前已知的勒索软件集团关联。
这款勒索软件能够执行在企业范围内勒索软件部署期间手动执行的任务。在谈到受害者文件加密的速度时,专家表示 Rorschach是目前观察到最快的勒索软件之一。
"Rorschach"勒索软件采用了一种高效且快速的混合加密方案,该方案混合了curve25519和eSTREAM密码hc-128算法用于加密。这个过程只对原始文件内容的一个特定部分进行加密,而不是整个文件。WinAPI CryptGenRandom被用来生成加密的随机字节,作为每个受害者的私钥。共享密钥是通过curve25519计算的,使用生成的私钥和硬编码的公钥。最后,计算出的共享密钥的SHA512哈希值被用来构建eSTREAM密码hc-128的KEY和IV。
(混合加密)
研究人员将Rorschach加密的速度与Lockbit v.3进行了比较,后者需要大约7分钟来加密受害者的文件,而Rorschach只需4分30秒就能完成。事实证明,一个新的恶魔诞生了。
(赎金票据)
更恐怖的是,Rorschach勒索软件是高度可定制的。也就是说,通过调整加密线程的数量,它可以实现更快的速度。
Rorschach虽然不隶属于其他任何勒索软件组织,但它与其他赎金软件集团也有相似之处。例如,一些赎金票据类似于Yanluowang和DarkSide赎金票据,混合加密方案与Babuk赎金软件集团类似。同时,Rorschach和LockBit之间也有一些相似之处。
"Rorschach "的代码是用其他勒索软件不常见的方式进行保护和混淆的,并且在编译时进行了编译器优化,以尽可能地提高速度和代码内联。就目前来看,Rorschach 从“久负盛誉”的勒索软件集团中汲取了精华,然后加入了一些自己的独特功能。
在最近的观察中安全研究人员表示,在亚洲、欧洲和中东的中小型企业和工业公司也出现了Rorschach 的攻击。
参考链接:cybernews.com/security/ransom-gang-faster-than-lockbit/