El Equipo de Respuesta a Incidentes de la empresa de ciberseguridad Check Point encontró este software malicioso cuando respondía a un caso de ransomware contra una empresa con sede en Estados Unidos.
Investigadores han identificado un malware denominado Rorschach, que ofrece un gran nivel de personalización y destaca por ser una de las cepas más rápidas en cuanto a la velocidad de su cifrado.
Suscríbete a nuestro newsletter
El Equipo de Respuesta a Incidentes de la empresa de ciberseguridad Check Point (CPIRT) ha encontrado este software malicioso cuando respondía a un caso de ransomware contra una empresa con sede en Estados Unidos.
En su investigación, los profesionales hallaron una cepa de ransomware única capaz de desplegarse utilizando un componente firmado de Crotex XDR de Palo Alto Network.
Según Check Point, este método “no se utiliza habitualmente para cargar ransomware, por lo que revela un nuevo enfoque adopado por los ciberdelincuentes para eludir la detección”, tal y como ha explicado en una nota de prensa.
A diferencia de otros casos de ransomware, el autor de la amenaza no se oculta tras un alias y tampoco parece estar afiliado a ninguno de los grupos de ransomware conocidos. De ese modo, su comportamiento sugiere que es parcialmente autónomo y se propaga automáticamente cuando se ejecuta en un Controlador de Dominiio (DC) mientras borra los registros de eventos de máquinas afectadas.
Por otra parte, los investigadores han asegurado que este malware es “extremadamente flexible”, ya que opera no solo en base a una configuración incorporada que le permite cambiar su comportamiento según las necesidades del operador.
Asimismo, han señalado que si bien parece haberse inspirado en algunas de las familias de ransomware más conocidas, este también contiene funcionalidades únicas, como el uso de syscalls’ directas, esto es, llamadas para comunicarse con el núcleo del sistema.
