近日,网络安全公司Check Point的研究人员在协助一家美国公司事件响应团队时发现了一个迄今为止加密速度最快的勒索软件新变种——Rorschach。

利用知名XDR产品部署勒索软件

这个代号Rorschach的勒索软件新变种是通过Cortex XDR中的签名组件使用DLL旁加载技术部署的,而Cortex XDR是Palo Alto Networks的扩展检测和响应产品。

攻击者使用Cortex XDR转储服务工具(cy.exe)加载Rorschach的加载程序和注入器(winutils.dll),将勒索软件有效负载“config.ini”启动到记事本进程中。

加载程序文件具有UPX风格的反分析保护功能,其主要有效载荷通过使用VMProtect软件虚拟化部分代码来防止逆向工程和检测。

Rorschach的攻击链

勒索软件的新世界纪录

CheckPoint的研究人员发现,只有当受害的设备配置了独立国家联合体(CIS)以外的语言时,Rorschach才会开始加密数据。

Rorschach的加密方案混合了curve25519和eSTREAM密码hc-128算法,并遵循间歇性加密趋势,这意味着它只部分加密文件,从而提高了处理速度。

为了了解Rorschach的加密速度,Check Point在一台六核CPU服务器上进行了一个包含22万个文件的测试。

结果Rorschach只花了4.5分钟就完成了数据加密,而此前公认最快的勒索软件LockBit v3.0需要7分钟。

研究人员指出,Rorschach的加密速度如此之快是因为其加密例程“通过I/O完成端口高效实现线程调度”。此外,Rorschach的编译器优化优先考虑了速度,大部分代码都是内联的。