Confirman nuevo ataque cibernético en el mundo, ¿cómo funciona y a quiénes afecta?
“Rorschach” es más sofisticado que el ransomware tradicional y combina tácticas de múltiples ataques conocidos más nuevas características únicas. Así busca maximizar el daño y evadir las soluciones de ciberseguridad.
Así como los medios tecnológicos avanzan a pasos agigantados en todo el mundo, con ellos también viene las amenazas en las redes que pueden sustraer datos de cuentas, dinero o hasta que robar información valiosa para cualquier organismo, y por eso, hay que estar en constante estado de alerta para evitarlo.
El sitio de seguridad cibernética internacional Check Point Research (CPR) detectó un nuevo ransomware sofisticado, evasivo y extremadamente rápido. El mismo, apodado “Rorschach” por Check Point Research, es más sofisticado que el ransomware tradicional y combina tácticas de múltiples ataques conocidos más nuevas características únicas, para maximizar el daño y la evasión de las soluciones de ciberseguridad.
“Así como una prueba psicológica de Rorschach se ve diferente para cada persona, este nuevo tipo de ransomware tiene altos niveles de características técnicamente distintas tomadas de diferentes familias de ransomware, lo que lo hace especial y diferente de otros. Este es el ransomware más rápido y uno de los más sofisticados que hemos visto hasta ahora”, destacó Sergey Shykevich, gerente del Grupo de Inteligencia de Amenazas en Check Point Research.
“Rorschach” se implementó mediante la carga lateral de DLL de la herramienta de servicio de volcado Cortex XDR de Palo Alto Network, un producto de seguridad comercial firmado. Este método de carga no se usa comúnmente para cargar ransomware y, por lo tanto, revela un nuevo enfoque adoptado por los ciberdelincuentes para evadir la detección. La vulnerabilidad que permitió el despliegue de “Rorschach” fue comunicada a Palo Alto Networks.
Un análisis de comportamiento del nuevo ransomware sugiere que es parcialmente autónomo y se propaga automáticamente cuando se ejecuta en un controlador de dominio (DC) mientras borra los registros de eventos de las máquinas afectadas.
Además, es extremadamente flexible, operando no solo en base a una configuración incorporada, sino también a numerosos argumentos opcionales que le permiten cambiar su comportamiento de acuerdo con las necesidades del operador. Si bien parece haberse inspirado en algunas de las familias de ransomware más peligrosas, también contiene funcionalidades únicas, que rara vez se ven entre los ransomware, como el uso de llamadas directas al sistema.
En el caso detectado, la nota de ransomware enviada a la víctima tenía un formato similar a las notas de Yanluowang, aunque otras variantes dejaron caer una que se parecía más a las notas de ransomware DarkSide.
Argentina en la mira
Un informe de la firma de seguridad Check Point Research informó que los ataques informáticos semanales en todo el mundo aumentaron un 7% en el primer trimestre de 2023 respecto al mismo trimestre del año pasado, y en promedio, cada organización enfrentó 1.248 ataques por semana.
En Argentina hubo un crecimiento de hasta el 22% en los ataques semanales con respecto al mismo periodo del año anterior, aumentando en promedio hasta los 2.052 ciberataques por semana. En el primer trimestre de 2023 el sector de Educación e Investigación fue el más afectado en número de incidencias, con un promedio de 2.507 ataques por organización a la semana.