速いRORSCHACH

ほぼこもセキュリティニュース By Terilogy Worx

RORSCHACHは新しいランサムウェアです。
これまで確認されているなんらかのランサムウェアギャングが出す新しいランサムウェアということではないようで、新しいものだと考えられています。
RORSCHACHはどのようなものでしょうか。

  • いろいろなものに見える
    既知のいろいろなランサムウェアに似た部分を持っています。
    そのため、一見すると既知の別のランサムウェアの新しい別のバージョンなのではないかと思えるような部分があります。

     

  • 自律行動が可能
    ドメイングループポリシーを作成して横展開します。
    この部分の動作は別のランサムウェアでは手動で実行されることもあるものですが、その動作を自動で行う機構が実装されています。
    このため、感染がドメインコントローラーに到達すると、自動で増殖していってしまう動きが可能です。

     

  • 暗号化速度が速い
    コーディングのしやすさではなく動作の高速性を優先したと思われる部分が確認されています。
    また複数のスレッドを使用して動作するための機構も搭載されています。
    そして暗号化対象のファイルの全体を暗号化するのではなく、ファイルの一部のみを暗号化します。
    こういったことが作用し、従来の他のランサムウェアよりも高速にファイルを暗号化することができます。

     

  • セキュリティソリューションの回避
    RORSCHACHは活動中に他のプロセスを起動して利用する場面もありますが、その他のプロセスを起動する際に、引数を偽装して実行します。
    一見意味を持たないように見える引数を指定して実行することにより、セキュリティ製品で悪意ある活動が実施されていることを発見されることを回避しています。
    また、暗号化動作を行う際の速度にも影響するのですが、このマルウェアはシステムのAPIを利用する際に、通常のAPI呼び出しを行いません。
    使用したいAPIの内部番号を読み取り、実行時にはその内部番号を使ってAPIの機能を直接実行するように動作します。
    このAPIの利用方式により、セキュリティ製品で悪意のある活動があると判定できる可能性が低下しますし、実行速度の高速化も同時に成し遂げられます。

     

  • 活動する地域を制御する
    暗号化動作の開始の前にマルウェアが動作している地域の判定が行われます。
    マルウェアの動作しているOSから設定された言語の種類を取得し、それがCIS諸国のものであると判定された場合、動作を終了します。
    ロシア語やウクライナ語が設定されたパソコンは暗号化されない、といった動きです。

RORSCHACHはその動作時に、動作環境で生成されるイベントログを削除しつつ動作するといった動きもします。
単に暗号化の高速さが危険だというだけのものではなさそうです。
いろいろな他のマルウェアが持つ有効性の高い作戦を拝借し、自分の機能として取り込んでいます。
RORSCHACHはいくつかの面でよく練られたものに仕上がっています。

ランサムウェアの領域が新たな段階に進んでいく兆候なのかもしれません。

参考記事(外部リンク):RORSCHACH – A NEW SOPHISTICATED AND FAST RANSOMWARE
research.checkpoint.com/2023/rorschach-a-new-sophisticated-and-fast-ransomware/