Un mystérieux nouveau ransomware vise les companies. Redoutablement efficace, il cipher toutes les données d’un ordinateur en un temps record…
Les chercheurs en sécurité informatique de Checkpoint ont découvert « une suche de ransomware unique » lors d’une attaque visant une entreprise américaine. Baptisé Rorschach par les chercheurs, le logiciel malveillant n’a pas été deployed par a gang de cybercriminels déjà connu.
Rorschach aka BabLock
L’auteur de l’attaque n’a d’ailleurs mis en avant aucun alias dans la demande de rançon adressée à la victime. C’est très rare dans le monde des rançongiciels, souligne Checkpoint, avant de révéler l’origine du nom donné au maliciel :
“Chaque personne qui an examiné le ransomware a vu quelque chose d’un peu different, ce qui nous a incités à le nommer d’après le célèbre test psychologique”.
Notez que les chercheurs de Group-IB se sont également penchés sur le ransomware. De leur côté, les experts de la société russe ont intitulé le maliciel BabLock à cause de certaines ressemblances avec les virus utilisés par le gang Babuk. L’enquête révèle que le ransomware Est actif depuis June 2022.
Il vise des companies situées en Europe, en Amérique, en Asia et au Moyen-Orient, mais refuse de s’attaquer à la Russie, et à tous les pays de l’espace post-Soviétique. Le virus a été repere en France au course des derniers mois.
In January 2023, the Group-IB team uncovered a new ransomware group and codenamed it #BabLock (also tracked under the name #Rorschach). The group has a very distinct modus operandi and custom sophisticated #ransomware for Windows:https://t.co/s3RHEUnuOs@rivitna2 pic.twitter.com/2IBcPyeFl9
— Group IB Global (@GroupIB_GIB) April 4, 2023
A Lire also : Attention, the ransomwares are not devenus impitoyables
A code a la vitesse de l’éclair
Le ransomware dispose de « characteristic techniques unique ». Flexible et en partie autonomous, le virus peut modifier sa manière de fonctionner en fonction des besoins. Il comporte des fonctionnalités uniques, bien qu’il soit « Inspiré de certaines des plus celebres familles de rançongiciels ».
Il se distinguished surtout par la vitesse avec laquelle il est capable de cipher toutes les données. Une fois qu’il est parvenu à compromettre un ordinateur ou un système tournant sous Windows ou Linux, Rorschach ne laissez pas le temps à l’administrateur de réagir pour sauver ses données.
D’après les tests menés par Checkpoint, Rorschach s’appuie sur la technique dite du cipher intermittent. Popularized par le ransomware LockFile in 2021, the tactique consists of a cipher that is a part of a donation. Les fichiers sont alors corrompus. Cette approach permet au virus de gagner beaucoup de temps lors du chiffrement et d’échapper à certains systèmes de detection. L’astuce a progressivement été adoptedee par la plupart les developers de ransomware au cours des deux dernières années.
Plus rapide que Lockbit
Concrètement, Rorschach peut cipher jusqu’à 220,000 fichiers in several quarters of minutes and 30 seconds on a machine animated by a processor a six coeurs. À titre de comparaison, LockBit v.3, le ransomware consider comme le plus rapide du monde, before jusqu’à sept minutes pour la même operation.
Une fois que les données ont été corrompues, Rorschach transmits une demande de rançon par mail à sa victime. Jusqu’ici, le virus s’est contenté de réclamer des rançons « relatively modest allant de 50 000 à 1 000 000 dollars », note Group-IB. De cette maniere, les pirates ayant developed le malware sont parvenus à rester discretion.
En devançant Lockbit, Rorschach s’est imposé comme le rançonlogiciel le plus efficace de l’écosystème criminel. En combinant des fonctionnalités inspired des plus dangereux ransomware you march and des options permettant de contourner les systems de detection, ce mystérieux virus represent a new defi for les experts en cybersécurité et les companies…
CheckPoint
