C’est en janvier 2023, que l’équipe Group-IB , des chercheurs en sécurité découvre une nouvelle souche de rançongiciel jusque-là inconnue, surnommé Rorschach. Un redoutable logiciel malsain, très diversifié dans la forme comme dans le mode d’action.
Avec des fonctionnalités technologiquement extraordinaires. Les chercheurs de Check Point le présente comme le prédateur des grandes entreprises.
Mode operateur du programme
Les ransomwares sont de plus à l’ordre des cyberattaques actuelles. Ils se succèdent tout aussi bien par ténacité que dangerosité. En effet, les motivations des créateurs de ce type de logiciels attraient purement à des objectifs financiers et la recherche de notoriété.
La création d’une stratégie de groupe de domaine (GPO), l’utilisation d’appels système directs sont des taches généralement manuelles que Rorschach officine sans difficultés. Il est capable de s’auto dupliquer, des caractéristiques d’autonomies remarquables. Lorsqu’il est exécuté, il se répand sur la machine, efface par la suite les journaux d’événements des machines affectées.
Selon Check Point « Rorschach crée des processus de manière non conventionnelle, les exécute en mode SUSPEND et fournir des arguments incorrects pour renforcer les activités d’analyse et de remédiation. Ce faux argument, composé d’une suite de nombres 1 correspondant à la longueur de l’argument réel, le réécrit en mémoire, le remplacé par le vrai et produire une opération différente »
Il est très flexible, s’exécutant sur une configuration intégrée et une variété d’arguments facultatifs pour ajuster son comportement aux besoins de l’utilisateur. Lorsqu’il corrompt les données de la victime, Rorschach envoie une demande de rançon par courriel électronique à sa victime.
Un ransomwares plus rapide que ces compères
En outre, en raison des méthodes misent en œuvre, Rorschach est l’un des plus rapides ransonwares. A cet observés en termes de vitesse de cryptage Rorschach chiffre une énorme quantité de fichier en un temps records. De plus en comparaison, à son prédécesseur LockBit v.3, c’est Jusqu’à 220 000 fichiers cryptés en seulement quatre minutes et 30 secondes sur une machine très puissante contre le record mondial de sept minutes pour ladite opération.
