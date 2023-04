« Au cours de l’analyse, le nouveau ransomware a montré des caractéristiques uniques. Rorschach se distingue par son haut niveau de personnalisation et ses caractéristiques techniques uniques, jamais vues auparavant dans un ransomware. En fait, Rorschach est l’une des souches de ransomware les plus rapides jamais observées, en termes de vitesse de chiffrement », poursuit l’entreprise.

Au terme de l’analyse, il s’est avéré que le ransomware est partiellement autonome et se propage automatiquement lorsqu’il est exécuté sur un contrôleur de domaine (DC) tout en effaçant les journaux d’événements des machines affectées. « En outre, il est extrêmement flexible et fonctionne non seulement sur la base d’une configuration intégrée, mais aussi de nombreux arguments facultatifs, ce qui lui permet d’adapter son comportement aux besoins de l’opérateur. Bien qu’il semble s’inspirer de certaines des familles de ransomwares les plus connues, il comprend également des fonctionnalités uniques, telles que l’utilisation d’appels syscall directs. »

Cette évolution du paysage cybernétique montre l’importance d’une bonne protection contre les ransomwares. « Tout comme un test de Rorschach ou un test de tache d’encre semble différent pour chacun, ce nouveau type de ransomware présente un niveau élevé de caractéristiques techniques différentes provenant de différentes familles de ransomware, ce qui le rend spécial et vraiment différent des autres familles de ransomware que nous avons connues jusqu’à présent. Il s’agit du ransomware le plus rapide et l’un des plus sophistiqués que nous ayons vu jusqu’à présent », commente Sergey Shykevich, Threat Intelligence Group Manager chez Check Point Research. « C’est un autre exemple de l’évolution rapide de la nature des cyberattaques – et cela montre la nécessité pour les entreprises de déployer une solution de prévention qui peut empêcher Rorschach, ou tout autre ransomware, de crypter leurs données et d’affecter la continuité de leurs activités. »