Rorschach, ou BabLock, un rançongiciel rapide, furtif et sophistiqué
![Image Contenus intimes et IA : que faire face à la déferlante des [contenus abusifs ?]](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-dark-content-web-885x690.jpg)
![Image L’IA en [cyber threat intelligence] : un apport contrasté](https://incyber.org//wp-content/uploads/2024/03/incyber-news-artifical-intelligence-cybersecurite-cybersecurity-885x690.jpg)
![Image [Vie privée et protection de l’enfance :] comment trouver le juste équilibre face aux contenus sexuels déviants ?](https://incyber.org//wp-content/uploads/2024/04/incyber-news-cybersecurite-cybersecurity-child-protection-2024-885x690.jpg)
![Image Une autorité gouvernementale américaine critique la [cybersécurité défaillante de Microsoft]](https://incyber.org//wp-content/uploads/import/post/2022/04/google-critique-la-microsoft-dependance-du-gouvernement-us-885x690.png)
Checkpoint et Group-IB alertent sur les dangers de ce nouveau ransomware, qui se contente de chiffrer les données sans les dérober
Les sociétés de cybersécurité Group-IB et Checkpoint ont publié chacune une note de blog, le 4 avril 2023, consacrée à un nouveau rançongiciel, inconnu jusqu’ici. L’équipe Digital Forensics and Incident Response (DFIR) européenne de Group-IB, basée à Amsterdam, l’a découvert mi-janvier 2023, en enquêtant sur une attaque contre un industriel européen.
Les chercheurs de Group-IB l’ont baptisé BabLock, car ses versions pour Linux et ESXi présentent des similitudes avec le ransomware Babuk. Ils ont ajouté « Lock », en référence au mode opératoire particulier du nouveau gang, qui se contente de chiffrer les machines infectées, mais n’exfiltre aucune donnée. Checkpoint a, de son coté, identifié le rançongiciel durant une attaque contre une entreprise américaine, et l’a baptisé Rorschach.
« Le gang BabLock (également repéré sous le nom de « Rorschach » par CheckPoint), contrairement à la plupart de ses « pairs du secteur », n’utilise pas de site de fuite de données (DLS) et communique avec ses victimes par courrier électronique », précise Group-IB.
Cette absence de DLS et des rançons relativement faibles (de 50 000 à 1 million de dollars) assurent une certaine discrétion au gang cybercriminel. D’après Group-IB, la souche du rançongiciel serait active depuis juin 2022, mais sa création remonterait à 2021.
Le ransomware se distingue également par un haut niveau de sophistication et de furtivité. Selon Checkpoint, il aurait ainsi « pris certaines des meilleures fonctionnalités des principaux rançongiciels divulguées en ligne pour les intégrer ensemble ». Il serait également « en partie autonome, exécutant des tâches qui sont habituellement effectuées manuellement lors du déploiement d’un ransomware ».
« Le rançongiciel est hautement personnalisable et contient des caractéristiques techniques uniques, comme l’utilisation d’appels systèmes directs, rarement observées chez les ransomwares. En outre, grâce à différentes méthodes de mise en œuvre, Rorschach est l’un des ransomwares les plus rapides observés, en termes de vitesse de chiffrement », précise encore Checkpoint. Le rançongiciel chiffrerait ainsi les données 30 % plus vite que LockBit 3.0, pourtant réputé pour sa vélocité.
Les chercheurs ont retrouvé des échantillons de Rorschach / BabLock en Europe (France, Italie, Luxembourg, Autriche), aux États-Unis, en Asie et au Moyen-Orient. Les analyses n’ont pas permis d’identifier son origine. Mais Group-IB précise que le rançongiciel a été conçu pour ne pas chiffrer « les appareils utilisant le russe et d’autres langues parlées dans l’espace post-soviétique ». Les regards se tournent donc une fois de plus vers Moscou.