A Check Point Research (CPR) e a Check Point Incident Response Team (CPIRT) descobriram o Rorschach, um ransomware altamente personalizável e com características tecnicamente únicas nunca vistas e que se tornou o «mais rápido de sempre» no que toca à velocidade da sua encriptação.
Os investigadores indicam que esta ameaça foi «implementado através da utilização de um DLL side-loading da ferramenta Cortex XDR Dump da empresa Palo Alto Networks». Este método de carregamento invulgar e é assim uma «uma nova abordagem adoptada pelos cibercriminosos para escapar à detecção. A Check point revela que a vulnerabilidade que permitiu a implementação do Rorschach foi comunicada à empresa de cibersegurança.
A estirpe de ransomware, anteriormente anónima, foi utilizada contra uma empresa sediada nos EUA. Entre as características únicas detectadas pela CPR e CPIRT está o facto do ransomware «ser parcialmente autónomo, espalhando-se automaticamente quando executado num Domain Controller (CD), enquanto limpa os registos de eventos dos dispositivos afectados».
Além disso, é extremamente flexível, «funcionando não só com base numa configuração incorporada, mas também em numerosos argumentos opcionais que lhe permitem alterar o seu comportamento de acordo com as necessidades do operador».
