Rorschachランサムウェアとは【用語集詳細】
Rorschach(ロールシャッハ)ランサムウェア、あるいはBabLockランサムウェア、2023年4月に新たに活動が確認されたランサムウェアです。
このランサムウェアはターゲットのネットワークに侵入した後、ファイルを暗号化し身代金を要求します。
当該ランサムウェアを発見したCheck Point社によれば、Rorschachの暗号化処理は非常に高速であり、それまで最も早いとされていたLockBitを超える処理速度を有しています。
また、広く利用されているPalo Alto Netorks社のXDR製品Cortex XDRのダンプサービスツールを悪用し、DLLサイドローディングを用いることでランサムウェアをデプロイすると報じられています。
具体的には、Cortex XDRの正規のツールであるcy.exeを通じて、ローダーであるwinutils.dllを参照し、この悪性DLLがconfig.iniを復号することで、ランサムウェアコードを展開します。
このランサムウェアがドメインコントローラ上で実行された際は、グループポリシー作成を通じた複製・拡散を行う他、難読化や検知回避の機能も確認されています。