Eine neue und äusserst effektive Ransomware könnte den IT-Veranwortlichen von Unternehmen künftig Kopfzerbrechen bereiten. Die Geiselsoftware mit Namen «Rorschach» verschlüsselt in einem rasend schnellen Tempo und lässt sich offenbar keinem bekannten Ransomware-Stamm zuordnen.
Rorschach ist unter anderem imstande, Backups zu löschen und den Firewall von Rechnern zu deaktivieren, wie ihre Entdecker, die Forscher des Sicherheitsunternehmens Checkpoint, in einem Blogpost schreiben. Auf die Spur kamen sie der Ransomware bei der Untersuchung eines Sicherheitsvorfalles in einem US-Unternehmen. Sie gaben ihr den Namen «Rorschach», weil alle Personen, die ihren Code untersuchten, offenbar jeweils leicht andere Dinge feststellten – wie das in der Regel auch beim bekannten Rorschach-Test der Fall ist. Dieses unterschiedliche Auftreten sei ein Merkmal, das die Ransomware so speziell mache, heisst es weiter.
Wer hinter der neuen Ransomware steckt, konnten die Checkpoint-Forscher bisher nicht eruieren. Im Gegensatz zu den meisten anderen Ransomware-Typen verwenden die Urheber von Rorschach nämlich keinerlei Branding-Merkmale, wie beispielsweise ein Alias, das auf eine bestimmte Gruppe schliessen lässt.
Hohes Verschlüsselungstempo und einzigartige Funktionen
Die neue Ransomware hat gemäss ihren Entdeckern während der gesamten Untersuchung einzigartige Merkmale aufgewiesen. Sie heben insbesondere das rasante Tempo hervor, mit dem Rorschach die Verschlüsselung vornimmt. Zudem funktioniere die Ransomware teilweise autonom und führe Aufgaben automatisch aus, die Angreifer normalerweise manuell erledigen müssten, schreiben sie weiter.
Die Köpfe hinter Rorschach haben sich laut Checkpoint von einigen der berüchtigtsten Ransomware-Familien inspirieren lassen. So weisen die Lösegeldforderungen etwa Ähnlichkeiten mit denjenigen der Yanluowang- und der Darkside-Gruppe auf. Der Code von Rorschach erinnert zudem an den Quellcode der Ransomware-Stämme Babuk und Lockbit. Die neu entdeckte Ransomware sei aber einzigartig und lasse sich keinem bekannten Ransomware-Stamm zuordnen, so die Forscher. Auch verfüge sie über bestimmte, einzigartige Funktionen, die bei Ransomware ganz allgemein selten zu finden seien.
Virenschutzprogramme vereiteln virtuelle Geiselnahmen
Egal ob der Angreifer Rorschach heisst, oder sich hinter einem anderen Namen verbirgt: eine Ransomware-Attacke ist in jedem Fall äusserst unangenehm. Einen Basisschutz vor virtuellen Geiselnahmen bietet allerdings schon eine zuverlässige Anti-Virensoftware. Effektive Programme, wie etwa Bitdefender, filtern nämlich E-Mails mit verdächtigen Dateianhängen, bevor sie überhaupt die Möglichkeit haben, den von ihren Absendern angestrebten Schaden anzurichten.