Strain ransomware tidak bermerek yang baru-baru ini menyerang perusahaan yang berbasis di AS sedang digunakan oleh penyerang yang menyalahgunakan alat yang termasuk dalam produk keamanan komersial, demikian temuan para peneliti Check Point.
Solusi yang dimaksud adalah Cortex XDR dari Palo Alto Networks, yang Alat Layanan Dumpnya digunakan oleh penyerang dan sekarang disalahgunakan untuk memuat DLL yang mendekripsi dan menyuntikkan ransomware Rorschach (yang baru diberi label).
Keunikan ransomware Rorschach
Sebelumnya dianalisis oleh para peneliti ASEC AhnLab, ransomware Rorschach memiliki beberapa fitur khas dan unik:
- Ini agak otonom. Itu dapat menyebar sendiri secara otomatis ketika dijalankan pada Pengontrol Domain (DC), di mana ia membuat kebijakan grup yang menempatkan salinan dirinya sendiri di semua workstation, lalu
- yang mematikan proses tertentu, dan terakhir yang mendaftarkan tugas terjadwal yang akan menjalankan main dapat dieksekusi
- Ini menghapus log peristiwa Windows pada mesin yang terpengaruh, menonaktifkan firewall Windows, dan menghapus volume bayangan dan cadangan (untuk mempersulit pemulihan data)
- Ini memiliki konfigurasi hard-coded tetapi memiliki kemampuan tambahan yang dapat digunakan melalui argumen baris perintah yang berbeda (misalnya, operator dapat memilih untuk tidak mengubah wallpaper dari
- mesin yang terinfeksi atau mengirimkan catatan tebusan, atau membuatnya menjadi kata sandi. diperlukan untuk menjalankan sampel)
- Ini menggunakan skema kriptografi yang menggabungkan algoritma curve25519 dan eSTREAM cipher hc-128, mengenkripsi hanya sebagian file, dan menggunakan penjadwalan thread yang sangat efektif. Ini semua menghasilkan enkripsi file dengan kecepatan kilat. Tapi mungkin hal yang paling menarik tentang itu adalah bagaimana pengiriman dan penerapannya.
Penjahat dunia maya menggunakan Alat Layanan Dump Cortex XDR sebagai alat mandiri yang mereka berikan sendiri.
Dalam kasus yang mereka amati, penyerang membawa file ZIP ke mesin korban yang mencakup tiga file: cy.exe (Cortex XDR Dump Service Tool versi 7.3.0.16740), yang disalahgunakan untuk memuat ke memori winutils.dll ( mengemas loader dan injektor Rorschach) dan config.ini (ransomware Rorschach terenkripsi yang berisi semua logika dan konfigurasi).
“ Konfigurasi.ini payload Rorschach utama kemudian dimuat ke dalam memori juga, didekripsi dan disuntikkan ke notepad.exe , di mana logika ransomware dimulai,”
Mereka tidak mengatakan bagaimana penyerang mengirimkan file ZIP berbahaya ke sistem organisasi target, atau apakah ancaman itu ditemukan di lebih dari satu sistem.
“Rorschach tidak menunjukkan tumpang tindih yang jelas dengan kelompok ransomware mana pun yang diketahui, tetapi tampaknya menarik inspirasi dari beberapa di antaranya,”
Yang pasti adalah bahwa ransomware tidak akan berjalan di mesin di mana bahasa/skrip default menunjuk ke pengguna yang berada di atau berasal dari negara CIS .
Palo Alto Networks bereaksi
Palo Alto Networks (PAN) telah mengonfirmasi bahwa “ketika dihapus dari direktori instalasinya, Cortex XDR Dump Service Tool ( cydump.exe ), yang disertakan dengan agen Cortex XDR di Windows, dapat digunakan untuk memuat pustaka tautan dinamis (DLL) yang tidak tepercaya ).”
Salinan alat yang digunakan oleh pelaku ancaman bernama cy.exe tetapi, menurut Shykevich, informasi nama file asli masih disajikan dalam sumber informasi versi biner.
PAN mengatakan bahwa sistem yang menjalankan agen Cortex XDR versi 7.7, 7.8 dan 7.9 dengan CU-240 dan pembaruan konten yang lebih baru mendeteksi dan memblokir ransomware ini, dan pembaruan konten baru akan dirilis minggu depan untuk mencegah penyalahgunaan perangkat lunak mereka dan mendeteksi dan mencegah teknik pemuatan samping DLL ini .
“Rorschach ransomware menggunakan salinan Cortex XDR Dump Service Tool dan teknik pemuatan samping DLL ini untuk menghindari deteksi pada sistem yang tidak memiliki perlindungan titik akhir yang memadai. Ini menimbulkan risiko yang sama dengan malware lain yang menggunakan teknik pemuatan samping DLL,”
