Après l'attaque d'une entreprise américaine, des chercheurs en cybersécurité ont découvert un nouveau type de rançongiciel (ransomware) doté de caractéristiques techniques « uniques » le rendant extrêmement rapide.
À l'heure actuelle, personne ne sait d'où vient le ransomware Rorschach, qui apparaît désormais comme grande menace.
Le ransomware le plus rapide du monde
Les chercheurs en cybersécurité de chez Checkpoint ont récemment découvert une nouvelle souche de ransomware qui a été nommé Rorschach en référence au célèbre test psychologique. Ce dernier serait actif depuis juin 2022, et aurait déjà été aperçu en janvier 2023 par l'équipe de Group-IB, qui l'avait alors baptisé BabLock en référence aux virus utilisés par les pirates du groupe Babuk. Ciblant les entreprises, Rorschach serait partiellement autonome et semble être en mesure de crypter extrêmement vite les données visées.
Une fois qu'il est entré dans le système, il s'exécute par l'intermédiaire du bloc-notes et utilise le chiffrement intermittent pour gagner du temps. La technique est très répandue depuis 2021, et ne présente presque que des avantages pour les assaillants. En effet, le ransomware ne crypte qu'une partie des données, corrompant de fait les données et esquivant certains programmes de détection des menaces. D'après les tests qui ont été réalisés, il n'aurait fallu que 4,5 minutes à Rorschach pour crypter 220 000 fichiers sur un ordinateur doté de six cœurs.
Pour comparer, les chercheurs indiquent que Lockbit v.3, réputé pour être le ransomware le plus rapide du moment, a eu besoin de 7 minutes. Une fois que les données ont été corrompues et partiellement chiffrées, l'utilisateur reçoit la demande de rançon. Il a également été remarqué que les demandes étaient relativement faibles par rapport aux cibles visées, les pirates réclamant des sommes comprises entre 50 000 et 1 000 000 de dollars « seulement ».
Une souche inédite créée par un groupe inconnu
À l'heure où sont écrites ces lignes, personne ne sait d'où vient Rorschach/BabLock. Il ne correspond à aucune souche connue et n'est lié à aucun groupe connu. La seule chose que nous savons, c'est que les entreprises visées se situent en Europe, en Asie, au Moyen-Orient et en Amérique du Nord et que le ransomware évite la Russie ainsi que les pays de l'ancien bloc soviétique.
En raison de sa rapidité et de la manière dont ont été combinées les principales caractéristiques des meilleurs ransomwares, Rorschach apparaît comme très dangereux et représente un véritable défi pour les experts en cybersécurité. Autres points et non des moindres, Rorschach serait hautement personnalisable et son autonomie partielle permettrait aux intrus de ne pas perdre du temps à effectuer des tâches habituellement réalisées à la main.
Source : Bleeping Computer