Ransomware mais rápido de sempre

-
Check Point Researchers revela "Rorschach", o Ransomware mais rápido de sempre A Check Point Research (CPR) e a Check Point Incident Response Team (CPIRT) detetaram uma estirpe, anteriormente anónima, de ransomware, agora denominada "Rorschach", utilizada contra uma empresa sediada nos EUA. Altamente personalizável e com características tecnicamente únicas nunca vistas em ransomware, o Rorschach é um dos ransomware mais rápidos de sempre. O ransomware foi implementado através do uso de um DLL side-loading do Cortex XDR da empresa Palo Alto Network, um produto de segurança comercial assinado, num método de carregamento não utilizado de forma comum para carregar o ransomware. A informação foi devidamente divulgada à Palo Alto Networks. Maputo, 4 de abril de 2023 Toda a gente vê coisas diferentes A Check Point Research (CPR) está sempre atenta a novos e emergentes ataques e tendências de cibersegurança. Hoje, a CPR e a CPIRT estão a chamar a atenção para uma nova e mais sofisticada estirpe de ransomware que anteriormente nem tinha nome. Denominado "Rorschach" pelos nossos investigadores, este "ransomware" foi utilizado num ataque contra uma empresa sediada nos EUA. O que faz com que Rorschach se destaque de outras estirpes de ransomware é o seu nível elevado de personalização e as suas características tecnicamente únicas que nunca tinham sido vistas em ransomware. De facto, o Rorschach é uma das estirpes de ransomware mais rápidas de sempre, no que toca à velocidade da sua encriptação. Curiosamente, o Rorschach foi implementado através da utilização de um DLL side-loading da ferramenta Cortex XDR Dump da empresa Palo Alto Network, um produto de segurança comercial assinado. Este método de carregamento não é vulgarmente utilizado para carregar ransomware, e, assim, revela uma nova abordagem adotada pelos cibercriminosos para escapar à deteção. A vulnerabilidade que permitiu a implementação do Rorschach foi devidamente revelada à empresa Palo Alto Networks. O que é que descobrimos? Enquanto respondia a um caso de ransomware contra a empresa sediada nos EUA, o nosso CPIRT deparou-se recentemente com uma estirpe única de ransomware implementada através de um componente do Cortex XDR da Palo Alto Network, um produto de segurança comercial. Ao contrário de outros casos de ransomware, o ator da ameaça não se escondeu atrás de um pseudónimo e parece não ter qualquer afiliação a nenhum dos grupos de ransomware conhecidos. Estes dois factos, raridades no ecossistema do ransomware, despertaram o interesse da CPR e levaram-nos a analisar minuciosamente o malware recentemente descoberto. Velocidade nunca vista e características muito pouco comuns em ransomware Ao longo de toda a sua análise, o novo ransomware exibiu características únicas. Uma análise comportamental do novo ransomware sugere que é parcialmente autónomo, espalhando-se automaticamente quando executado num Domain Controller (CD), enquanto limpa os registos de eventos dos dispositivos afetados. Além disso, é extremamente flexível, funcionando não só com base numa configuração incorporada, mas também em numerosos argumentos opcionais que lhe permitem alterar o seu comportamento de acordo com as necessidades do operador. Embora pareça ter-se inspirado em algumas das mais infames famílias de ransomware, também contém funcionalidades únicas, raramente vistas entre os ransomwares, tais como a utilização de syscalls diretos. A nota de ransomware enviada à vítima foi formatada de forma semelhante às notas de ransomware Yanluowang, embora outras variantes tenham apresentado uma nota que mais se assemelhava às notas de ransomware do DarkSide (fazendo com que algumas se referissem erroneamente a ela como DarkSide). Cada pessoa que examinava o ransomware viu algo um pouco diferente, o que nos levou a dar-lhe o nome do famoso teste psicológico - Rorschach Ransomware.

Comentários

Enviar um comentário

Mensagens populares deste blogue

Dívidas ocultas: Primeiro contacto foi com agente secreto sul-africano

-
Afinal, terá sido uma agente secreta sul-africana quem apresentou Jean Boustani aos moçambicanos. A revelação foi feita ontem na primeira pessoa pelo próprio executivo libanês da Privinvest, quem afirmou que além de Moçambique, a companhia de produção de barcos propôs projectos de protecção costeira e desenvolvimento de economia azul a Namíbia, Quênia, Tanzânia e Nigéria. Basetsana Thokoane terá sido quem propôs a Jean Boustani que buscasse oportunidades de investimento em Moçambique devido a descoberta de recursos naturais. Segundo revelou o libanês no Tribunal Federal Distrital de Brooklyn, nos Estados Unidos, a suposta agente secreta disse que conhecia pessoas seniores em Moçambique e que poderia ajudar a fazer corredores para implementação. A rede terá sido assim: Basetsana Thokoane conhecia Rosário Mutota, antigo agente do Serviço de Informação e Segurança do Estado e "parceiro de negócios" de Teófilo Nhangumele. Em 2011, Jean Boustani viaja para Moçambique onde na c
Read more »

30 years of brutal silence of Germany on slavery of Mozambicans

-
Around 20 thousand Mozambicans were exploited in Germany from 1979 and 1989 under false pretence of training  of Mozambican labour force. Germany Democratic Republic and People Republic of Mozambique signed an agreement on 24 February of 1979  to send young Mozambicans to work in Germany companies. What was known  was the young Mozambicans were going to be trained in several skills  that later would be implemented in socialist companies to be established in Mozambique. Now, lapsed 30 years after the end of the agreement, it was revealed behind that was a debit between the countries of around 300 millions of USD to quit by the revenue of the Mozambicans, in a type of modern slavery. The Mozambicans were forced to discount, during stay in Germany, 60% of their salaries under the promise that they would be paid when they are back to Mozambique, and that never happened. The agreement and amendments that ruled the matter are sealed with 7 keys in both countries. A representative gro
Read more »

Sobreviventes do massacre descrevem “execuções agoniantes” em campo de futebol de Muidumbe

-
  Decapitações, que terão sido realizadas entre os dias 6 a 8 de novembro, tinham sido desmentidas pelo governador de Cabo Delgado Sobreviventes do massacre de Muidumbe relataram à VOA nesta segunda-feira, 16, o “desespero” e a “agonia” de mais de 50 pessoas decapitadas num campo de futebol local, confirmando os rumores das execuções em massa perpetradas por grupos armados em Cabo Delgado. Na semana passada, vários órgãos de comunicação moçambicanos e internacionais, relataram o sequestro de 50 pessoas que depois foram decapitadas num campo de futebol, que se transformou em átrio de execuções, na aldeia de Muatide. As decapitações, que terão sido realizadas entre os dias 6 a 8 de novembro, foram desmentidas poucos dias depois pelo governador de Cabo Delgado, Valige Tauabo, mas condenadas “veementemente” pelo secretário-geral da Organização das Nações Unidas (ONU), António Guterres, que instou as autoridades a conduzirem uma investigação. “As pessoas estão a morrer”, disse à V
Read more »