Utpressingsvirus er en av de største truslene i den digitale sfæren, og dessverre blir den svært destruktive programvaren hele tiden farligere og mer sofistikert. Det har vi nå fått et nytt eksempel på, i form av et nylig oppdaget utpressingsvirus på «steroider».
Sikkerhetsselskapet Check Point Research rapporterer nå om «Rorschach» – et nytt løsepengevirus som beskrives som unikt og ulikt alt annet av virus i samme sjanger.
Lynrask kryptering
Rorschach fungerer på samme måte som andre løsepengevirus, ved at det krypterer filer på offerets system og nettverk, men Check Points analyser avslørte at viruset har en rekke mer uvanlige egenskaper som gjør det til en ytterst farlig aktør på arenaen.
Den mest fremtredende egenskapen som Check Point nevner er at Rorschach er blant de aller raskeste utpressingsvirusene som noensinne er observert. Ifølge sikkerhetsselskapet tar det viruset i gjennomsnitt cirka 4 minutter og 30 sekunder å kryptere systemene til ofrene.
Til sammenligning opererer et av de raskeste utpressingsvirusene hittil – det kjente Lockbit-viruset – med en gjennomsnittlig krypteringshastighet på 7 minutter.
I en oversikt over en rekke utpressingsvirus utarbeidet av det amerikanske programvareselskapet Splunk for et års tid siden, lå mediantallet på tvers av alle programmene på 42 minutter og 52 sekunder. Rorschach er med andre ord som et lynraskt utpressingsvirus å regne.
En annen mer uvanlig egenskap er at viruset er delvis autonomt, som betyr at flere av funksjonene som vanlig krever manuell, menneskelig kontroll, er automatiserte. Dette omfatter blant annet selve spredningen av viruset, og evnen til å slette hendelsesloggen på infiserte maskiner.
Anonyme bakmenn
Denne trenden har ført til mye lavere gevinster for utpressingsvirusene
I tillegg er viruset svært fleksibelt, på den måten at den ondsinnede funksjonaliteten kan endres fortløpende av operatørene bak viruset.
En annen uvanlig egenskap ved Rorschach er imidlertid at programvaren er i stand til såkalte direkte systemkall. Systemkall refererer til den funksjonen som gjør det mulig for programmer å sende forespørsler om tjenester eller funksjoner fra operativsystemet.
Eksempler kan være å åpne og lukke filer, opprette nye prosesser, tildele og frigjøre minne og sende og motta data over et nettverk. Ifølge Check Point er slik funksjonalitet å finne i andre typer skadevare, men skal være svært sjelden i akkurat utpressingsvirus. Forskerne sier Rorschach bruker denne funksjonaliteten primært som en anti-oppdagelsesmekanisme.
Rorschach er også et «anonymt» utpressingsvirus, i den forstand at bakmennene er ukjente og heller ikke ser ut til å prøve å bygge en «merkevare» med viruset – noe Check Point sier er sjeldent når det gjelder denne type ondsinnet programvare.
– Rorschach skiller seg ut med sitt ekstremt høye tilpasningsnivå og unike tekniske
funksjoner, som aldri før er sett i ransomware. Rorschach er en av de raskeste
løsepengevirusene som noen gang er observert når det kommer til krypteringshastighet, sier
Pål Aaserudseter, sikkerhetsarkitekt i Check Point Norge, i en pressemelding.
Flere tekniske detaljer om det nye utpressingsviruset kan du finne i Check Points egen analyse.
Forskere advarer: En av verdens farligste skadevarer er på ferde igjen etter en «pause»
