RORSCHACH атакує: нова загроза з боку програм-вимагачів

PCI PIN Security

06.04.2023
Rorschach - це новий різновид вірусу-вимагача, який нещодавно виявили дослідники кібербезпеки. Він вважається складним і швидким, легко налаштовується і має технічно унікальні функції, які раніше не зустрічалися у програмах-вимагачах. 
Для завантаження корисного навантаження вірусу використовується метод, який називається "бічне завантаження DLL", що рідко зустрічається в подібних атаках. Унікальними характеристиками Rorschach є його висока здатність до налаштування та використання прямих системних викликів для маніпуляцій із файлами та обходу механізмів захисту. Вимагач також може припиняти роботу заздалегідь визначеного списку служб, видаляти тіньові папки і резервні копії, очищати журнали подій Windows, щоб стерти свої сліди, відключати брандмауер Windows і навіть видаляти самого себе після завершення своїх дій. Вимагач Rorschach використовує високоефективну і швидку гібридну криптографічну схему, яка поєднує алгоритми шифрування curve25519 і eSTREAM cipher hc-128, що робить його "демоном швидкості". 
Кажуть, що він активний щонайменше з червня 2022 року і може вражати системи ESXi та Linux. Було виявлено, що він атакує малі та середні компанії і промислові фірми в Азії, Європі та на Близькому Сході.
Дізнатися більше про особливості Rorschach можна з відповідного дослідження фахівців Сheck Point Research