El ransomware no deja de evolucionar y cada poco tiempo aparecen nuevas familias y variantes. Estas suelen incluir características más avanzadas que sus predecesores y más peligrosas para sus potenciales víctimas.
Los investigadores de seguridad acaban de descubrir un nuevo ransomware bastante 'letal' por la velocidad con la que puede actuar. De hecho, se trataría de la amenaza de este tipo más rápida encontrada hasta la fecha a la hora de encriptar.
Según las pruebas de velocidad de Check Point Research, esta nueva cepa, bautizada como 'Rorschach' (igual que los famosos tests psicológicos hechos con manchas), tiene la capacidad de cifrar 220.000 archivos de unidades locales en un intervalo de tan solo 4 minutos y medio. Eso lo haría el doble de veloz que el notorio LockBit 3.0.
"Lo que es aún más notable es que el ransomware Rorschach es altamente personalizable. Al ajustar la cantidad de subprocesos de cifrado a través del argumento de la línea de comandos, puede lograr tiempos aún más rápidos", recoge la investigación de CPR, publicada esta semana.
La 'ropa vieja' del ransomware
Roscharch es una especie de Frankenstein, ya que se ha apropiado de elementos copiados del código fuente filtrado de otras cepas de ransomware.
De LockBit 2.0 ha tomado la realización autónoma de tareas, la lista de idiomas usados para detenerlo y el método de subproceso de puertos de finalización de E/S, de Babuk ha cogido su esquema de criptografía híbrida que es la base de su velocidad de cifrado y la lista de servicios a detener, mientras de DarkSide y Yanluowang ha cogido prestado sus notas de rescate.
En cuanto a quién está detrás de esta nueva familia, es todo un misterio. Los actores de amenazas que se sirven de ella no emplean ningún alias, ni marcan sus productos. En un mundo donde la reputación y la autopromoción son fundamentales, esto es algo muy poco común.
"Al igual que un test psicológico ode Rorschach tiene un aspecto diferente para cada persona, este nuevo tipo de ransomware cuenta con altos niveles de características técnicamente distintas tomadas de diferentes familias de ransomware, lo que lo hace especial y diferente de otras familias", dice Sergey Shykevich, responsable de la división de inteligencia de amenazas en RCP.
No obstante, la nueva amenaza también incluye características únicas. Es parcialmente autónomo, pudiéndose abrirse camino a través de un entorno sin interacción del usuario. Y hace uso de llamadas al sistema directas para inyectar sigilosamente código malicioso en otros procesos. Según los investigadores de CPR, se trata de algo "sorprendente", ya que es una ténica extremadamente rara dentro del ecosistema de ransomware.