Les chercheurs en cybersécurité ont récemment découvert une nouvelle souche de ransomware qui, selon eux, est la plus rapide.
Après avoir enquêté sur un cyber-incident dans une entreprise américaine, les experts de Check Point sont tombés sur une variante de ransomware inconnue qui, après une analyse plus approfondie, a été surnommée Rorshach.
Les chercheurs ont conclu que Rorshach est la souche de ransomware la plus rapide en matière de cryptage, testant le code en lui donnant 220 000 fichiers sur une machine à processeur 6 cœurs, pour voir combien de temps il faudrait pour crypter les fichiers. Rorshach a terminé la tâche en quatre minutes et demie. Pour la perspective, LockBit 3.0 détenait auparavant le record de sept minutes pour le même travail.
Confondre les chercheurs
Alors que les opérateurs du ransomware sont encore inconnus, les chercheurs ont quelques idées sur qui pourrait être derrière. La note de rançon, disent-ils, utilise un format similaire à celui utilisé par le rançongiciel Yanlowang. Ils ont également déclaré que les versions précédentes du malware utilisaient une note de rançon similaire à celle utilisée par DarkSide, ce qui a amené d’autres chercheurs à croire que Rorshach était en fait DarkSide.
En ce qui concerne les spécifications techniques du rançongiciel, les chercheurs ont découvert que Rorshach supportait les arguments de ligne de commande qui peuvent étendre ses fonctionnalités. Cependant, les options sont masquées et ne sont pas accessibles sans rétro-ingénierie du logiciel malveillant. Ils ont également constaté que le chiffreur ne fonctionnera que s’il détecte que la machine cible est configurée avec une langue en dehors de la Communauté des États indépendants (CEI).
Quant au schéma de chiffrement, il s’agit d’un mélange d’algorithmes de chiffrement curve25519 et eSTREAM hc-12. Le logiciel malveillant ne crypte que des parties du fichier, ce qui est une pratique que d’autres développeurs de rançongiciels ont également mise en œuvre pour accélérer le processus de cryptage.
La routine de chiffrement de Rorschach suggère « une implémentation très efficace de la planification des threads via les ports de complétion d’E/S », ont conclu les chercheurs.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)