Quatro minutos. Esse é o tempo que o ransomware Rorschach leva para comprometer sistemas inteiros. Ultra-veloz e altamente personalizável, essa ameaça pode ser fatal para empresas que não têm uma postura de segurança boa o bastante para evitá-la.
Esse tipo de malware, que criptografa e “sequestra” dados diversos, solicitando o pagamento de resgate para uma devolução sem garantias, não é novo. Mas segue como um dos principais riscos à Segurança da Informação das organizações.
Um novo relatório de ameaça de dados divulgado em março de 2024 aponta aumento de 27% nos casos de ransomware em relação ao ano anterior. A incidência de ataques pode se tornar ainda maior ou, no mínimo, mais devastadora à luz do Rorschach, colocando em risco o futuro de negócios de qualquer setor, Brasil e mundo afora.
Rorschach: Velocidade nunca vista e características pouco comuns em ransomware
O ransomware Rorschach é sofisticado, tem uma velocidade de criptografia de dados inédita e é personalizável (ou adaptável). Falamos de uma ameaça que usa técnicas sofisticadas para escapar dos mecanismos de detecção dos antivírus e firewalls, se adequando às soluções de segurança usadas por cada empresa para conseguir invadir redes e sistemas.
O novo ransomware recebeu esse nome em alusão ao famoso teste de Rorschach ― aquele que mostra pranchetas de manchas simétricas, feitas com tinta, e solicita que o observador diga o que está vendo em cada imagem. É comum que cada pessoa a passar pelo teste enxergue algo diferente a partir das mesmas manchas e um paralelo foi traçado com essa ameaça para nomeá-la.
“Assim como um teste psicológico de Rorschach parece diferente para cada pessoa, esse novo tipo de ransomware tem recursos tecnicamente distintos, de alto nível retirados de diferentes famílias de ransomware, tornando-o especial e diferente de outras famílias de ransomware“, explicou Sergey Shykevich, gerente do Grupo de Inteligência de Ameaças da Check Point Software, empresa de segurança que descobriu o malware.
Como funciona o ransomware Rorschach
Em essência, o ransomware Rorschach faz o mesmo que os outros: criptografa e sequestra dados com o objetivo de obter vantagens financeiras para os criminosos. Contudo, existem peculiaridades no seu funcionamento que o tornam diferente e mais perigoso.
O Rorschach não compartilha códigos com nenhum dos outros ransomwares. Além de explorar vulnerabilidades conhecidas, escapa de ferramentas de detecção por meio de técnicas avançadas de ofuscação de código, comunicação encoberta e processos executados em modo SUSPEND, e disfarce como tráfego legítimo, entre outras estratégias.
Uma vez que o arquivo é aberto e baixado, o ransomware é executado na máquina e adiciona uma extensão “.RO” aos arquivos criptografados, e apaga os originais. Falamos de uma ameaça parcialmente autônoma, que executa por conta própria tarefas de implantação que geralmente são feitas manualmente, como a criação de uma política de grupo de domínio (GPO). Além disso, conta com funcionalidades raras, como o uso de syscalls diretos.
O ransomware Rorschach é bastante adaptável. Opera com base na configuração integrada e em diversos argumentos opcionais que permitem que seu comportamento seja alterado conforme as necessidades de seu operador e combinado estratégias para elevar seu poder.
Com tudo isso, uma vez dentro do sistema, usa seu esquema híbrido de criptografia, combinando algoritmos, para agir com grande rapidez e potencial para comprometer sistemas inteiros e maximizar os danos antes que a TI da empresa perceba ou tenha tempo de agir. A menos, claro, que esteja suficientemente preparada.
Semelhanças técnicas do Rorschach com outros ransomwares
Embora seja uma ameaça bem diferente das outras, o ransomware Rorschach guarda similaridades de comportamento com outros ransomwares, como:
- capacidade de se auto replicar após sua execução em um controlador de domínio (CD);
- capacidade de excluir os logs de eventos das máquinas afetadas após uma ação bem-sucedida, similar ao LockBit 2.0;
- mensagem de resgate semelhante à dos ransomwares Yanlouwang e DarkSide.
Além disso, o ransomware Rorschach parece usar alguns dos recursos mais poderosos dos principais ransomwares vazados online, integrados em uma só ameaça. Em outras palavras, seus desenvolvedores encontraram formas de combinar os “melhores” recursos de outras ameaças similares conhecidas para criar uma mais sofisticada, potente e exclusiva.
Proteger sua empresa do ransomware Rorschach é possível!
Com tamanha sofisticação e velocidade, pode até parecer que o ransomware Rorschach é uma ameaça da qual empresa nenhuma consegue escapar, mas não é bem assim. É possível adotar medidas protetivas para prevenir o ataque e suas consequências potencialmente devastadoras.
Adoção de medidas para evitar e-mails phishing
Ainda é importante contar com antivírus, firewalls e outras ferramentas de detecção de ameaças, e mantê-las sempre atualizadas, ainda que o ransomware Rorschach tenha potencial para driblá-las.
Além disso, é fundamental educar as pessoas da empresa acerca dos riscos e melhores práticas em relação à troca de e-mails. O que inclui passar orientações sobre o que torna uma mensagem suspeita, como verificar o remetente e analisar links e arquivos antes de abri-los.
Realização de análise e monitoramento contínuo
Tendo em mente que o ransomware Rorschach também explora vulnerabilidades conhecidas, é necessário ter uma equipe de profissionais sempre dedicada a encontrar eventuais brechas de segurança na rede corporativa e nos sistemas em uso.
Um caminho, por exemplo, é a realização de testes de intrusão para identificar, de forma detalhada, falhas e vulnerabilidades que merecem a atenção da organização. Com isso, torna-se possível criar um plano de ação, com prioridades e definição de ferramentas, para corrigir os problemas antes que sejam exploradas pelos operadores do Rorschach e de outros ransomwares e ameaças cibernéticas no geral.
Adoção de uma postura proativa
Seguindo a mesma ideia de realizar uma correção preventiva de brechas de segurança, entenda que o caminho ideal é que a empresa adote uma postura proativa, de modo a sempre agir para evitar problemas ao invés de deixá-los acontecer e, só então, entrar em cena para mitigá-los e tentar minimizar danos.
Essa dica ganhou uma importância ainda maior frente ao surgimento do ransomware Rorschach porque, como dito, trata-se de uma ameaça capaz de criptografar sistemas inteiros em poucos minutos. Assim, é muito arriscado deixar para agir somente depois de identificar a intrusão ― inclusive porque pode ser difícil percebê-la antes da nota de resgate surgir na tela da máquina infectada.
Realização frequente de backups
Além disso, cabe lembrar que em ataques de ransomware ― Rorschach ou qualquer outro ― a recomendação é não pagar o resgate solicitado pelos cibercriminosos, uma vez que isso não garante a devolução dos dados, tampouco seu não vazamento para terceiros.
Para tanto, é preciso que a empresa conte com recursos que assegurem o acesso a cópias de segurança das informações geradas no dia a dia de trabalho. Uma das possibilidades é a implementação de uma rotina de backup em nuvem.
Conte com a Prolinx!
Sentiu que é muita coisa pra sua TI dar conta sozinha? De fato, o esforço para manter o ransomware Rorschach longe da sua empresa demanda atenção dedicada, o que comumente não é possível fazer por conta própria.
Aliás, essa é uma situação que se aplica à estratégia de Segurança da Informação como um todo, visto que são várias as ameaças cibernéticas que exploram vulnerabilidades, exigindo uma postura proativa de ação contínua por parte das organizações e suas TIs. Assim, o melhor dos cenários ― o com o melhor custo-benefício ― é contratar uma parceria especializada, e é isso o que a Prolinx tem a oferecer.
Conheça nosso serviço de Gestão Contínua de Vulnerabilidades e conte com a expertise do nosso time para encontrar e corrigir falhas antes que sejam exploradas pelos operadores do Rorschach!