Yapılan son tespitlere göre en hızlı fidye yazılım Rorschach oldu. Bu yazılım, kriptografi yöntemiyle Lockbit 3.0’ı geçti.
Güvenlik araştırmacıları, “Rorschach” adlı en hızlı şifreleyen fidye yazılımı türlerinden birini keşfettiler.
Fidye yazılımı, ABD merkezli açıklanmayan bir şirketin Windows ortamına yönelik bir saldırıda tespit edildi. Check Point Research, bir blog gönderisinde Rorschach hakkında ayrıntılar yayınladı. Rorschach’ı, etkileyici optimizasyonu ve gelişmiş kriptografi yöntemi nedeniyle en hızlı fidye yazılımlardan biri olarak tanımladı.
Lockbit 3.0’dan daha hızlı
Kontrollü bir ortamdaki şifreleme testlerinde Rorschach, 220.000 dosyayı 270 saniyede şifreleyebildi. Bu, kendi kendini “en hızlı” ilan eden fidye yazılımı LockBit 3.0’dan tam 150 saniye daha hızlı olduğunu gösteriyor.
Araştırmacılar, Rorschach’ın komut satırı argümanında yapılan ayarlamalar yoluyla daha da yüksek hızlara ulaşabildiğini ve onu şifreleme süreleri söz konusu olduğunda yeni tehdit olarak sağlamlaştırdığını belirtti.
Hem Check Point hem de Group-IB araştırmacıları, Rorschach’ın hizmetleri öldürmek için kullandığı kodun Babuk fidye yazılımında bulunan kodla aynı olduğunu, şifrelenmiş makine dosyalarını yeniden adlandırmak için kullandığı sınıfların ise LockBit 2.0’dan kaldırılmış gibi göründüğünü belirtti.
Tersine mühendislik uygulanmış örnekler, Rorschach’ın kendi kendini silip silmeyeceği, hangi yolların silineceği veya örneğin çalışması için bir parola gerektirip gerektirmediği gibi eylemlerini kontrol etmesi için Rorschach’a iletilebilecek gizli bir argüman listesi ortaya çıkardı. Check Point, argüman listesinin kapsamlı olmadığını ve bulunan diğer argümanların, Rorschach’ın ağlar arasında çalışabileceğini ima ettiğini kaydetti.
Araştırmacıların “fidye yazılımını inceleyen her kişinin biraz farklı bir şey gördüğünü” belirtmesiyle, Check Point’in ‘Rorschach’ adını vermesine neden olan şey, türün uyarlanabilirliğiydi.
