Ciberseguridad

Rorschach: Cómo es y se comporta el ransomware más peligroso del mundo

  • Home
  • Ciber Seguridad Informatica

Este nuevo tipo de ransomware tiene altos niveles de características técnicamente distintas, tomadas de diferentes familias de ransomware, lo que lo hace especial y diferente de otros.

Publicado el 23 May 2023

ransomware

Expertos en ciberseguridad identificaron un nuevo ransomware, mucho más incisivo y peligroso que el tradicional, que se caracteriza por su extrema rapidez. Según deslizaron estos especialistas, combina tácticas de múltiples ataques conocidos, más otras características únicas que la distinguen, entre ellas el ser más sofisticado y evasivo. El objetivo final de este ransomware, apodado Rorschach, es maximizar el daño y sortear las soluciones de ciberseguridad. 

Al respecto, el experto y ejecutivo Sergey Shykevich desliza que “este nuevo tipo de ransomware tiene altos niveles de características técnicamente distintas tomadas de diferentes familias de ransomware, lo que lo hace especial y diferente de otros”. 

En esa misma línea, asegura que Rorschach, definitivamente, es el ransomware más rápido y uno de los más sofisticados que se han visto hasta el momento. Esto – añade – es una muestra clara de la naturaleza cambiante de los ataques cibernéticos “y de la necesidad de que las empresas implementen una solución de prevención que pueda evitar que este nuevo Rorschach los perjudique y cifre sus datos”.

Cómo se implementó Rorschach

Fue mediante la carga lateral de DLL, de la herramienta de servicio volcado Cortex XDR de Palo Alto Network, un producto de seguridad comercial firmado. Lo que cuentan fuentes conocedoras del asunto es que este método de carga, curiosamente, no se utiliza comúnmente para cargar ransomware. Por ende, revela un nuevo enfoque adoptado por los ciberdelincuentes para evadir la detección. “La vulnerabilidad que permitió el despliegue de Rorschach fue debidamente comunicada a Palo Alto Networks”, añaden.

Comportamiento de  Rorschach

-Es parcialmente autónomo y se propaga automáticamente cuando se ejecuta en un controlador de dominio (DC) mientras borra los registros de eventos de las máquinas afectadas.

-También es flexible, en el sentido de que opera no solo con base en una configuración incorporada, sino también a numerosos argumentos opcionales que le permiten cambiar su comportamiento de acuerdo a las necesidades del operador.

-Dentro de las funcionalidades únicas se destaca el uso de llamadas directas al sistema, que no es algo muy frecuente.

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Nicolás Della Vecchia

Periodista especializado en innovación, tecnología y negocios.

Sígueme en
Temas principales

Especificaciones

A
Amenazas
A
Ataques
I
Internet

Nota 1 de 5