Ransomware Rorschach: come funziona e come evitare l'infezione

Il settore dei ransomware, soprattutto negli ultimi tempi, appare alquanto affollato. A preoccupare comuni utenti ed esperti di sicurezza, sono ormai decine e decine di agenti malevoli, con una diffusione favorita anche dal modello ransomware-as-a-service (RaaS).

Uno dei fattori che rende più o meno interessante un malware di questo tipo agli occhi dei cybercriminali è la velocità con cui lo stesso riesce a crittografare i dati delle vittime. Sotto questo punto di vista Rorschach viene definito dai suoi autori come “encryption speed king” (il re della velocità di crittografia).

Il ransomware in questione è stato individuato per la prima volta nell’aprile 2023 ed è deriva dal codice di un altro malware alquanto noto nel settore, ovvero Babuk. Rorschach, come già accennato, si propone come una delle soluzioni che crittografa i dati della vittima con maggiore velocità e che si diffonde in tempi molto brevi sul Web.

In passato, i gruppi di ransomware hanno sfruttato diverse tecniche per la propagazione rapida, incluso l’utilizzo degli strumenti IT e di sicurezza già esistenti al fine di propagare in tempo record il loro malware.

Tuttavia, Rorschach sfrutta una via finora inesplorata, costituita dall’utilizzo di un sistema Active Directory (AD) e del Domain Group Policy Objects (GPO) di Windows. Ciò consente al malware di propagarsi rapidamente attraverso la rete ed eseguire ransomware su ogni endpoint a velocità vertiginose.

Come evitare il ransomware Rorschach

Le funzionalità avanzate di evasione attuate dagli sviluppatori di Rorschach sfruttano tecniche che includono l’utilizzo di tecniche di offuscamento e di spoofing, proprio al fine di nascondere le reali capacità del ransomware.

Questo tipo di evasione della difesa è nuovo per le minacce ransomware, ma non è nuovo nel mondo della sicurezza informatica. Per combattere la tecnica di auto-propagazione di Rorschach, i difensori hanno bisogno di soluzioni in grado di rilevare e rispondere all’agente malevolo in tempo reale, nuove e autonome.

Adottare antivirus di alto profilo e mantenere gli stessi aggiornati, è un ottimo modo per evitare spiacevoli sorprese in tal senso. La funzione di scansione in tempo reale, disponibile su tutti i software premium di questo ambito, risulta essenziale.

Ancora prima di agire in questo modo, è bene evitare link e allegati sospetti, per evitare il contatto non solo con questo ransomware, ma anche con la maggior parte di malware e agenti malevoli simili presenti in rete.