研究人員發現加密速度迄今最快的勒索軟體

2023-08-18

近期資安廠商Check Point安全研究人員發現一隻新勒索軟體Rorschach，在平均不到5分鐘內即可完成系統檔案加密，是加密速度最快的勒索軟體之一。

Check Point安全回應中心研究人員是在一家美國企業客戶系統發現這隻嶄新勒索軟體，它利用一款經簽章的商用安全軟體元件部署到受害者電腦中，研究人員將之命名為Rorschach。

這隻勒索軟體在許多方面都很特別。它和其他勒索軟體組織似乎沒有聯盟關係，也不像已知勒索軟體具有品牌名。它的勒索軟體訊息格式類似Yanluowang，但其他變種則很像Darkside，以致曾被誤認。

深層分析顯示，Rorschach一些特徵能和其他勒索軟體很像，但更為進階。首先，不同於許多勒索軟體感染企業系統時需要手動執行某些作業，像是建立網域群組政策（GPO），Rorschach則可將這些工作自動化，因而可透過網域控制器（domain controller）自動散布，還能清除受害機器的事件紀錄檔。過去只有LockBit 2.0有這等能力。

此外，Rorschach使用直接的系統呼叫（syscall）躲避防護機制，這就是首次在勒索軟體見到的能力。它還使用特殊封裝方法以防止安全人員分析。此外，它相當有彈性，除了原有配置，也提供客製化設定，可依據營運者需求改變其行為。

另一項特殊之處在於，Rorschach勒索軟體使用極高效率的混合加密法，加密檔案的部分內容，而非整個檔案。分析其混合加密手法，研究人員判斷可能來自Babuk勒索軟體。此外，它也有效實作執行緒排程（thread scheduling），而且其組譯器也經過速度最佳化。研究人員指出，這些因素使這隻勒索軟體成為他們遇過加密最快的勒索軟體之一。

研究人員比較Rorschach及去年最兇狠的勒索軟體之一的LockBit v3，顯示Lockbit v3平均加密時間為7分鐘，而新勒索軟體僅需4分30秒。而透過調整加密串數量，速度還可以再提高。

研究人員指出，Rorschach似乎集結了已知現有首要勒索軟體的最佳功能於一，並以自動化方法自我繁殖，已提高了勒索軟體攻擊能力的水準。

（相關資訊來自iThome）