Neue Ransomware Rorschach entdeckt

B2B Cyber Security ShortNews

Beitrag teilen

Ein weltweit führender Anbieter von Cyber-Sicherheitslösungen und das Check Point Incident Response Team warnen vor einer neuen Ransomware, die bereits ein US-Unternehmen angegriffen hat.

Die Sicherheitsforscher nannten diese Rorschach und bezeichnen sie als eine der schnellsten Ransomwares aller Zeiten bezüglich der Geschwindigkeit bei der Verschlüsselung von Daten. Sie sei hochgradig anpassbar und verfüge über einzigartige Funktionen. Rorschach wurde bei diesem ersten entdeckten Angriff über DDL-Dateien eingeschleust, die nebenbei vom zertifizierten, kommerziellen Sicherheitsprodukt Cortex XDR Dump Service Tool der Cyber-Sicherheitsfirma Palo Alto Networks heruntergeladen werden. Dies sei eine ungewöhnliche Methode zur Einschleusung von Ransomware, so CPR, die von den Cyber-Kriminellen wohl gewählt wurde, um der Entdeckung zu entgehen. Palo Alto Networks wurde von Check Point bereits informiert. Kunden von Check Point werden bereits geschützt, wenn sie Harmony Endpoint nutzen, da dort die Anti-Ransomware-Komponente und der Behavioral Guard auf Aktivitäten im Netzwerk achten, die einer Ransomware ähneln.

Einzigartige Funktionen

Anders, als aus der Szene bekannt, verstecken sich die Hacker nicht hinter einem Alias und haben wahrscheinlich keinen Bezug zu einer der bekannten Ransomware-Gruppen. Dies erregte umso mehr das Interesse der Sicherheitsforscher. Zu den einzigartigen Funktionen, die bei der Analyse entdeckt wurden, gehören: Die Ransomware kann teilweise autonom agieren und sich automatisch verteilen, wenn sie auf einem Domain Controller (DC) ausgeführt wird, wobei die Ereignis-Speicher (Log Files) der betroffenen Rechner gelöscht werden; sie ist extrem flexibel, weil sie einerseits viele eingebaute Konfigurationen besitzt und andererseits einige optionale Befehle durchführen kann, die eine Anpassung der Verhaltensweise der Ransomware an die jeweilige Situation und das Bedürfnis des Hackers zulassen; hinzu kommen direkte syscalls, was ebenfalls ungewöhnlich für eine Ransomware ist. Auf diese Weise kann Rorschach viele Aufgaben selbstständig durchführen, die sonst von Hand getätigt werden müssen, wie die Erstellung einer Sicherheitsrichtlinie im Stile eines Administrators (ähnlich wie LockBit 2.0).

Warum Rohrschach?

Manches bei Rorschach wurde von anderen, berüchtigten Ransomwares inspiriert. Zum Beispiel ist die Lösegeldforderung ähnlich zu jener der Yanluowang-Ransomware, jedoch können auch welche ausgegeben werden, die der von DarkSide ähneln – was zur Verwechslung mit diesen führen kann. So sah jeder Sicherheitsforscher ein etwas anderes Ergebnis bei Betrachtung der Ransomware, weswegen der Name Rorschach gewählt wurde, nach dem bekannten psychologischen Test.

Mehr bei Checkpoint.com

 


Über Check Point

Check Point Software Technologies GmbH (www.checkpoint.com/de) ist ein führender Anbieter von Cybersicherheits-Lösungen für öffentliche Verwaltungen und Unternehmen weltweit. Die Lösungen schützen Kunden vor Cyberattacken mit einer branchenführenden Erkennungsrate von Malware, Ransomware und anderen Arten von Attacken. Check Point bietet eine mehrstufige Sicherheitsarchitektur, die Unternehmensinformationen in CloudUmgebungen, Netzwerken und auf mobilen Geräten schützt sowie das umfassendste und intuitivste „One Point of Control“-Sicherheits-Managementsystem. Check Point schützt über 100.000 Unternehmen aller Größen.


 

Passende Artikel zum Thema

Fake-Updates verbreiten Malware

Sicherheitsexperten haben eine neue Bedrohung identifiziert. Dabei werden Nutzer auf kompromittierte Webseiten umgeleitet und zu Fake-Updates aufgefordert, die zu einem ➡ Weiterlesen

Russische Hacker nehmen ukrainische Signal-Nutzer ins Visier

Die Google Threat Intelligence Group (GTIG) veröffentlicht ihre Recherchen darüber, wie die Gruppierung APT44 (auch bekannt als Sandworm) und andere ➡ Weiterlesen

KRITIS im Visier der Angreifer

Der drastische Anstieg der Cybersicherheitsvorfälle in deutschen KRITIS-Einrichtungen um 43 Prozent von 2023 auf 2024 ist ein deutliches Warnsignal für ➡ Weiterlesen

E-Mail-Angriffe sind sprunghaft angestiegen

Gefährliche Cyberbedrohungen nehmen weltweit zu. Die Angriffe auf Unternehmen sind im Durchschnitt um 21 Prozent gestiegen. Dabei haben in 2024 ➡ Weiterlesen

Finanzielle Folgen eines Cyberangriffs

Der Hackerangriff auf den Dienstleiter Südwestfalen IT (SIT) zeigt beispielhaft die finanziellen Folgen für eine Gemeinde. Der Hackerangriff auf den ➡ Weiterlesen

Malvertising-Kampagne: Website der TU Dresden geklont

Cyberkriminelle haben eine bösartige Malvertising-Kampagne für Cisco AnyConnect erstellt. Das Tool, wird häufig von Angestellten verwendet, um sich aus der ➡ Weiterlesen

NIS-2: Warum Compliance so wichtig ist

Von der NIS-2-Richtlinie sind ca. 30.000 deutsche Einrichtungen betroffen – Unternehmen, die zur kritischen Infrastruktur zählen als auch Unternehmen, die ➡ Weiterlesen

Sicherheit von DeepSeek: Forscher testen Jailbreaking-Techniken

DeepSeek ist ein bemerkenswerter neuer Konkurrent für beliebte KI-Modelle. LLMs mit unzureichenden Sicherheitsbeschränkungen können von böswilligen Akteuren so genutzt werden, ➡ Weiterlesen