Un ransomware o el denominado secuestro de datos es un programa dañino que restringe actividades del sistema activos en donde algunos archivos se encuentran infectados generando una alerta que pide eliminar esta restricción. En los últimos días en Estados Unidos descubrieron una nueva cepa apodada como Rorschach que fue utilizada durante un ataque en contra de una empresa con sede en el país norteamericano. De qué se trata y qué fue lo que pasó.
Detectan "Rorschach", el ransomware más rápido del mundo: qué fue lo que sucedió
Según investigadores de Check Point Research esta nueva cepa se destaca debido a su alto nivel de personalización que incluye características únicas y que no se habían apreciado anteriormente. En este sentido, Rorschach tiene una presentación jamás observada y su eficacia en términos de velocidad de cifrado es bastante representativa ya que es más sofisticado que el tradicional y sus ataques pueden generar un mayor daño.
El Gerente de Inteligencia de Amenazas de esta compañía lo catalogó de la siguiente manera. “Así como una prueba psicológica de Rorschach se ve diferente para cada persona, este nuevo tipo de ransomware tiene altos niveles de características técnicamente distintas tomadas de diferentes familias de ransomware, lo que lo hace especial y diferente de otros. Este es el ransomware más rápido y uno de los más sofisticados que hemos visto hasta ahora. Habla de la naturaleza rápidamente cambiante de los ataques cibernéticos y de la necesidad de que las empresas implementen una solución de prevención que pueda evitar que Rorschach cifre sus datos”, sostuvo.
Teniendo en cuenta lo anterior, los expertos implementaron al Rorschach por medio de una carga lateral del DLL, una herramienta de servicio volcado Cortex XDR a un producto vinculado con la seguridad comercial. El método usado no es muy común para cargar ransomware y por este motivo los ciberdelincuentes tienen algunas garantías para evadir su detección. Estos descubrimientos permitieron notificaciones que fueron comunicadas inmediatamente a Palo Alto Networks.
Los resultados proporcionaron este comportamiento que actúa de manera autónoma y además se propaga automáticamente luego de la ejecución de un controlador de dominio. Posteriormente se encarga de borrar algunos registros de las máquinas que se encuentran afectadas. También se identificó que es muy flexible y que su manera de operación permite facilidad a la hora de cambiar su comportamiento teniendo en cuenta las necesidades del operador. Los especialistas sostuvieron que aparentemente se inspiró en las familias de ransomware más peligrosas.