Identifican el 'malware' Rorschach, con gran nivel de personalización y alta velocidad en su cifrado

Archivo - Portaltic.-Rusia aumentó en 2022 los ataques de 'phishing' a Ucrania en un 250% y a países de la OTAN en un 300% frente a 2020
Archivo - Portaltic.-Rusia aumentó en 2022 los ataques de 'phishing' a Ucrania en un 250% y a países de la OTAN en un 300% frente a 2020 - PIXABAY - Archivo
Actualizado: viernes, 7 abril 2023 9:36

   MADRID, 7 Abr. (Portaltic/EP) -

   Investigadores han identificado un 'malware' denominado Rorschach, que ofrece un gran nivel de personalización y destaca por ser una de las cepas más rápidas en cuanto a la velocidad de su cifrado.

   El Equipo de Respuesta a Incidentes de la empresa de ciberseguridad Check Point (CPIRT) ha encontrado este 'software' malicioso cuando respondía a un caso de 'ransomware' contra una empresa con sede en Estados Unidos.

   En su investigación, los profesionales hallaron una cepa de 'ransomware' única capaz de desplegarse utilizando un componente firmado de Crotex XDR de Palo Alto Network. Según Check Point, este método "no se utiliza habitualmente para cargar 'ransomware', por lo que revela un nuevo enfoque adoptado por los ciberdelincuentes para eludir la detección", tal y como ha explicado en una nota de prensa.

   A diferencia de otros casos de 'ransomware', el autor de la amenaza no se oculta tras un alias y tampoco parece estar afiliado a ninguno de los grupos de 'ransomware' conocidos. De ese modo, su comportamiento sugiere que es parcialmente autónomo y se propaga automáticamente cuando se ejecuta en un Controlador de Dominiio (DC) mientras borra los registros de eventos de máquinas afectadas.

   Por otra parte, los investigadores han asegurado que este 'malware' es "extremadamente flexible", ya que opera no solo en base a una configuración incorporada que le permite cambiar su comportamiento según las necesidades del operador.

   Asimismo, han señalado que si bien parece haberse inspirado en algunas de las familias de 'ransomware' más conocidas, este también contiene funcionalidades únicas, como el uso de 'syscalls' directas, esto es, llamadas para comunicarse con el núcleo del sistema.