Voici Rorschach, le ransomware le plus redoutable du monde

Un mystérieux nouveau ransomware vise les entreprises. Redoutablement efficace, il chiffre toutes les données d’un ordinateur en un temps record…

Les chercheurs en sécurité informatique de Checkpoint ont découvert « une souche de ransomware unique » lors d’une attaque visant une entreprise américaine. Baptisé Rorschach par les chercheurs, le logiciel malveillant n’a pas été déployé par un gang de cybercriminels déjà connu.

Rorschach alias BabLock

L’auteur de l’attaque n’a d’ailleurs mis en avant aucun alias dans la demande de rançon adressée à la victime. C’est très rare dans le monde des rançongiciels, souligne Checkpoint, avant de révéler l’origine du nom donné au maliciel :

« Chaque personne qui a examiné le ransomware a vu quelque chose d’un peu différent, ce qui nous a incités à le nommer d’après le célèbre test psychologique ».

Notez que les chercheurs de Group-IB se sont également penchés sur le ransomware. De leur côté, les experts de la société russe ont intitulé le maliciel BabLock à cause de certaines ressemblances avec les virus utilisés par le gang Babuk. L’enquête révèle que le ransomware est actif depuis juin 2022.

Il vise des entreprises situées en Europe, en Amérique, en Asie et au Moyen-Orient, mais refuse de s’attaquer à la Russie, et à tous les pays de l’espace postsoviétique. Le virus a été repéré en France au cours des derniers mois.

In January 2023, the Group-IB team uncovered a new ransomware group and codenamed it #BabLock (also tracked under the name #Rorschach). The group has a very distinct modus operandi and custom sophisticated #ransomware for Windows:https://t.co/s3RHEUnuOs@rivitna2 pic.twitter.com/2IBcPyeFl9

— Group-IB Global (@GroupIB_GIB) April 4, 2023

À lire aussi : attention, les ransomwares sont devenus impitoyables

Un chiffrement à la vitesse de l’éclair

Le ransomware dispose de « caractéristiques techniques uniques ». Flexible et en partie autonome, le virus peut modifier sa manière de fonctionner en fonction des besoins. Il comporte des fonctionnalités uniques, bien qu’il soit « inspiré de certaines des plus célèbres familles de rançongiciels ».

Il se distingue surtout par la vitesse avec laquelle il est capable de chiffrer toutes les données. Une fois qu’il est parvenu à compromettre un ordinateur ou un système tournant sous Windows ou Linux, Rorschach ne laisse pas le temps à l’administrateur de réagir pour sauver ses données.

D’après les tests menés par Checkpoint, Rorschach s’appuie sur la technique dite du chiffrement intermittent. Popularisée par le ransomware LockFile en 2021, cette tactique consiste à ne chiffrer qu’une partie d’une donnée. Les fichiers sont alors corrompus. Cette approche permet au virus de gagner beaucoup de temps lors du chiffrement et d’échapper à certains systèmes de détection. L’astuce a progressivement été adoptée par la plupart les développeurs de ransomwares au cours des deux dernières années.

Plus rapide que Lockbit

Concrètement, Rorschach peut chiffrer jusqu’à 220 000 fichiers en seulement quatre minutes et 30 secondes sur une machine animée par un processeur à six cœurs. À titre de comparaison, LockBit v.3, le ransomware considéré comme le plus rapide du monde, prend jusqu’à sept minutes pour la même opération.

Une fois que les données ont été corrompues, Rorschach transmet une demande de rançon par mail à sa victime. Jusqu’ici, le virus s’est contenté de réclamer des rançons « relativement modestes allant de 50 000 à 1 000 000 dollars », note Group-IB. De cette manière, les pirates ayant développé le malware sont parvenus à rester discrets.

En devançant Lockbit, Rorschach s’est imposé comme le rançonlogiciel le plus efficace de l’écosystème criminel. En combinant des fonctionnalités inspirées des plus dangereux ransomwares du marché et des options permettant de contourner les systèmes de détection, ce mystérieux virus représente un nouveau défi pour les experts en cybersécurité et les entreprises…

Source : CheckPoint