A família foi observada em uma empresa dos Estados Unidos usando carregamento lateral de DLL, execução em notepad.exe, propagação automática quando executada em controlador de domínio e técnicas de evasão incomuns para ransomware.
| Componente | Ransomware Rorschach, com cadeia composta por cy.exe, winutils.dll, config.ini e injeção do payload em notepad.exe em sistemas Windows. |
| Vetor | Execução inicial por carregamento lateral de DLL a partir de um componente assinado de um produto comercial de segurança; quando executado em controlador de domínio Windows, o malware cria política de grupo para se espalhar para outras máquinas do domínio. |
| Impacto | Criptografia de arquivos no ambiente, limpeza de logs de eventos nas máquinas afetadas, parada de serviços e processos definidos na configuração e dificuldade adicional de análise por packing, VMProtect, argumentos falsificados e chamadas diretas ao sistema. |
| Prioridade | Investigar execuções anômalas de cy.exe, carregamento de winutils.dll, injeção em notepad.exe, criação inesperada de GPOs, tarefas agendadas associadas a encerramento de processos e sinais de criptografia rápida em múltiplos diretórios. |
| Artefatos | A cadeia descrita usa winutils.dll como loader/injetor, config.ini como conteúdo criptografado com a lógica do ransomware e notepad.exe como processo alvo para execução do código malicioso. |
| Técnicas | DLL side-loading, criação de processos suspensos com argumentos falsificados, proteção por packing no estilo UPX, VMProtect, chamadas diretas com instrução syscall, criptografia híbrida com curve25519 e hc-128, e escalonamento por portas de conclusão de E/S. |
| Limites de atribuição | Não há sobreposição clara com grupos conhecidos; a amostra contém semelhanças técnicas com rotinas associadas a Babuk, LockBit v2.0 e formatos de nota semelhantes a Yanluowang ou DarkSide, mas sem vínculo confirmado com essas operações. |
Rorschach é uma família de ransomware observada durante resposta a incidente em uma empresa sediada nos Estados Unidos. O caso chama atenção por combinar uma cadeia de execução baseada em componente assinado de produto comercial de segurança com técnicas de evasão, proteção contra análise e propagação interna que não costumam aparecer juntas em ransomware comum. A execução inicial descrita envolve cy.exe, que carrega winutils.dll por DLL side-loading. Esse loader coloca em memória o conteúdo de config.ini, descriptografa a lógica do malware e injeta o payload em notepad.exe, onde a rotina principal de ransomware passa a operar.
O comportamento observado indica uma operação flexível e parcialmente autônoma. Em estáções comuns, a amostra segue o fluxo de injeção, preparação do ambiente e criptografia. Em um controlador de domínio Windows, o ransomware assume um papel mais perigoso: cria uma política de grupo para distribuir sua execução a outras máquinas do domínio. Essa diferença de comportamento aumenta o impacto em ambientes Active Directory, porque transforma uma execução local em um mecanismo de alcance lateral por infraestrutura administrativa legítima, sem que o operador precise interagir individualmente com cada endpoint.
A família também tenta dificultar resposta e engenharia reversa. A amostra cria processos em modo suspenso e fornece argumentos falsificados, compostos por uma sequência repetida de dígitos, antes de substituir esses valores na memória pelos parâmetros reais. Esse recurso prejudica ferramentas que dependem de linha de comando visível, árvores de processo ou captura tardia de argumentos. Além disso, o loader apresenta packing modificado no estilo UPX, o payload executado em notepad.exe permanece protegido por VMProtect e parte relevante da análise é dificultada pela ausência de uma tabela de importação convencional.
O objetivo operacional confirmado é criptografar arquivos no ambiente. O ransomware não foi descrito como ferramenta de exfiltração, roubo de credenciais ou movimentação lateral interativa além do mecanismo por política de grupo em controlador de domínio. Portanto, o impacto técnico sustentado é a indisponibilidade por criptografia, a alteração do estado de serviços e processos locais, a limpeza de logs de eventos e a propagação condicionada ao contexto de execução em Active Directory. Qualquer investigação deve separar esses fatos observados de hipóteses não confirmadas sobre vazamento de dados ou associação a grupos de extorsão conhecidos.
A cadeia começa com cy.exe carregando winutils.dll em memória por carregamento lateral de DLL. O uso de um componente assinado de produto comercial de segurança oferece ao operador uma forma de iniciar a execução com aparência menos suspeita do que um binário desconhecido isolado. Depois que winutils.dll assume o controle no contexto de cy.exe, o arquivo config.ini é carregado, descriptografado e usado como payload real. A lógica do ransomware não roda diretamente no processo inicial; ela é injetada em notepad.exe, o que desloca a atividade maliciosa para um processo comum do Windows e cria ruído adicional para ferramentas de análise comportamental.
A execução de processos por Rorschach é descrita como incomum. O malware inicia processos em estado suspenso e usa argumentos de fachada no momento de criação. Esses argumentos aparentes têm comprimento equivalente ao argumento real, mas são preenchidos por repetição do dígito 1. Em seguida, o conteúdo é reescrito na memória com os parâmetros efetivos. A consequência defensiva é importante: registros de criação de processo, EDRs que capturam apenas os parâmetros iniciais e analistas que observam a árvore de execução de forma superficial podem ver uma linha de comando que não representa a intenção real do código.
Quando o host afetado é um controlador de domínio, Rorschach cria uma política de grupo para se distribuir pelo domínio. O mecanismo lembra, em finalidade, técnicas já vistas em famílias como LockBit 2.0, mas a implementação descrita é diferente. A política de grupo também é usada para encerrar processos por tarefa agendada, inclusive com uso de um binário legítimo do Windows para finalização de processos. Parte desses encerramentos parece voltada a reduzir conflito de escrita em arquivos de banco de dados; outra parte atinge soluções de segurança. O ransomware também contém listas hardcoded de serviços a serem interrompidos por meio do gerenciador de controle de serviços.
A criptografia combina desempenho e seletividade. A rotina usa um esquema híbrido com curve25519 e o cifrador hc-128, da família eSTREAM. A amostra gera bytes aleatórios por CryptGenRandom para uma chave privada por vítima, calcula um segredo compartilhado com uma chave pública hardcoded e deriva material de chave a partir de um hash SHA512. Em vez de criptografar integralmente cada arquivo, o malware cifra porções específicas do conteúdo original, reduzindo o tempo necessário para tornar muitos arquivos inutilizáveis. A implementação também usa portas de conclusão de E/S para escalonamento de threads, e o código parece compilado com otimização voltada a velocidade e inlining.
A defesa contra análise aparece em várias camadas. O loader exige desempacotamento manual porque o packing no estilo UPX foi alterado de modo incompatível com rotinas automáticas comuns. Depois da injeção, o payload ainda está protegido por VMProtect e apresenta virtualização de trechos críticos. O ransomware também faz chamadas diretas ao sistema por instrução syscall, construindo uma tabela para APIs NT usadas na criptografia de arquivos. Essa abordagem não é necessária para cifrar dados; sua utilidade provável é reduzir a visibilidade de soluções que monitoram chamadas de API em camadas mais altas do Windows.
A superfície principal é composta por hosts Windows nos quais a cadeia cy.exe e winutils.dll consegue ser executada, com maior gravidade quando o ponto de execução é um controlador de domínio. Em estáções e servidores comuns, a ameaça afeta arquivos acessíveis ao processo injetado, serviços e processos que constam nas listas internas do ransomware, além de logs locais que podem ser limpos. Em controladores de domínio, o risco aumenta porque a criação de política de grupo transforma o Active Directory em mecanismo de distribuição para outros endpoints associados ao domínio.
A amostra contém configuração hardcoded e também aceita argumentos opcionais ocultos, descobertos por engenharia reversa. O parâmetro relacionado a threads permite alterar a quantidade de trabalho paralelo de criptografia, o que pode aumentar ainda mais a velocidade de impacto. Outros argumentos indicam capacidades de rede, como opções nomeadas listen, srv e hostfile, mas o material analisado não sustenta uma descrição operacional completa dessas funções. Para análise defensiva, isso significa que a ausência de uma linha de comando visível não reduz o risco, já que parâmetros reais podem ter sido reescritos em memória após criação suspensa do processo.
O ransomware inclui mecanismos de parada de execução por verificações do sistema antes da criptografia, mas os detalhes dessas verificações não foram especificados no conteúdo recebido. Também há listas internas de diretórios e arquivos omitidos da criptografia, além de listas de processos e serviços que podem ser encerrados. Como os nomes concretos dessas listas não foram fornecidos de forma utilizável, não é adequado transformar a existência dessas listas em regras específicas de detecção por nome. O uso defensivo mais sólido é observar o padrão de comportamento: parada coordenada de serviços, encerramento de processos, atividade de GPO, injeção em processo legítimo e aumento abrupto de operações de escrita em arquivos.
- Hosts Windows com execução de
cy.exee carregamento lateral dewinutils.dlldevem ser tratados como sistemas potencialmente comprometidos. - Controladores de domínio exigem prioridade maior por causa da criação de GPO para distribuição automática a outras máquinas do domínio.
- Ambientes com telemetria baseada apenas em linha de comando inicial podem perder parâmetros reais por causa da falsificação e reescrita em memória.
- Serviços de banco de dados, processos de segurança e aplicações que mantêm arquivos abertos podem aparecer em eventos de encerramento antes ou durante a criptografia.
A investigação deve começar pela reconstrução da cadeia de processo. A sequência esperada envolve execução de cy.exe, carregamento de winutils.dll, leitura e descriptografia de config.ini e injeção em notepad.exe. Em endpoints, a presença de notepad.exe com atividade de alto volume em arquivos, criação de threads incomum, operações intensivas de leitura e escrita ou comportamento incompatível com uso interativo deve receber prioridade. Em EDR, a combinação de DLL side-loading, processo suspenso, alteração de parâmetros em memória e execução subsequente em processo legítimo é mais forte do que qualquer artefato isolado.
Em controladores de domínio, a caça deve incluir eventos de criação ou alteração de políticas de grupo sem mudança administrativa planejada. A distribuição por GPO é um ponto crítico porque permite que o ransomware alcance múltiplas máquinas com aparência de mecanismo corporativo normal. Eventos de tarefa agendada emitidos por política, encerramento de processos por binários legítimos do Windows e alterações simultâneas em diversos hosts indicam que o domínio pode ter sido usado como meio de propagação. Mudanças de GPO próximas a surtos de criptografia devem ser preservadas para análise forense antes de qualquer limpeza destrutiva.
A limpeza de logs de eventos nas máquinas afetadas deve ser tratada como sinal de intrusão e não como falha operacional. Ausência repentina de registros, truncamento de logs ou eventos de limpeza sem justificativa administrativa podem indicar tentativa de reduzir rastreabilidade. Como o ransomware usa chamadas diretas ao sistema para funções ligadas à criptografia, sensores que monitoram apenas APIs de alto nível podem ter lacunas. Telemetria de kernel, comportamento de sistema de arquivos, eventos de criação de thread, alocação de memória executável e injeção em processo devem complementar logs tradicionais.
Na camada de arquivos, o padrão esperado é criptografia rápida e paralela, com alteração parcial de conteúdo de muitos arquivos em intervalo curto. A rotina evita cifrar o arquivo inteiro, o que reduz tempo de execução e pode tornar algumas métricas baseadas em volume total de escrita menos evidentes do que em ransomware que reescreve todo o conteúdo. A detecção deve considerar número de arquivos modificados, distribuição por diretórios, criação ou renomeação em massa e relação temporal com parada de serviços. Em soluções com arquivos-isca, alterações não autorizadas nesses objetos são um sinal forte de ransomware em andamento.
- Execução de
cy.exeseguida de carregamento dewinutils.dlle atividade subsequente emnotepad.exe. - Criação de processos suspensos com argumentos compostos por sequências repetidas e depois substituídos em memória.
- Criação ou alteração inesperada de GPO em controlador de domínio próximo ao início de criptografia em múltiplos hosts.
- Encerramento coordenado de processos e parada de serviços por mecanismos administrativos ou pelo gerenciador de controle de serviços.
- Limpeza de logs de eventos, queda súbita de registros disponíveis ou ausência de telemetria no período de execução.
- Alta taxa de modificação ou renomeação de arquivos com padrão compatível com criptografia parcial e paralela.
A resposta deve priorizar contenção de identidade e domínio quando houver indício de execução em controlador de domínio. A criação de GPO por ransomware muda a natureza do incidente: não basta isolar uma estáção criptografada, porque a política pode continuar distribuindo tarefas ou configurações para outros hosts. O primeiro bloco defensivo é identificar e desabilitar políticas recém-criadas ou alteradas de forma não autorizada, preservar cópias forenses dessas configurações e isolar controladores de domínio afetados conforme o plano de continuidade da organização permitir.
Nos endpoints, a contenção deve focar na cadeia de execução e na criptografia em andamento. Processos relacionados a cy.exe, winutils.dll e notepad.exe com comportamento anômalo devem ser isolados por EDR ou resposta manual controlada, sem depender exclusivamente da aparência do processo no gerenciador de tarefas. Como o ransomware pode falsificar argumentos, a decisão não deve se basear apenas na linha de comando inicial. A coleta de memória, artefatos de execução, eventos de criação de processo e alterações de GPO deve ocorrer antes da reinstalação ou limpeza, sempre que isso não ampliar o dano.
A recuperação exige validação de backups e revisão de serviços interrompidos. Como a amostra foi projetada para parar processos e serviços, inclusive possivelmente para evitar conflito de escrita em arquivos de banco de dados, bancos e aplicações críticas precisam de verificação de consistência antes de voltarem à produção. Backups devem ser restaurados em ambiente limpo, com credenciais revisadas e sem reutilizar políticas, tarefas ou binários do ambiente comprometido. A criptografia parcial de arquivos torna inadequado presumir integridade apenas porque o tamanho do arquivo parece normal.
A redução de risco passa por controles preventivos específicos. DLL side-loading deve ser tratado com regras de reputação e caminho, especialmente quando um binário assinado carrega uma DLL inesperada fora de diretórios conhecidos. Controladores de domínio devem ter auditoria forte para criação de GPO, alteração de scripts e tarefas agendadas, além de alertas de mudança fora de janelas aprovadas. Soluções de endpoint devem combinar análise comportamental de ransomware, proteção contra alteração de arquivos-isca, detecção de injeção em processo e monitoramento de chamadas ou efeitos de baixo nível no sistema de arquivos.
A atribuição não deve guiar a resposta inicial. Embora o ransomware apresente semelhanças com rotinas de Babuk, LockBit v2.0 e formatos de nota associados a Yanluowang ou DarkSide, o vínculo operacional com essas famílias não está confirmado. A defesa deve responder ao comportamento observado: carregamento lateral, injeção, propagação por GPO, encerramento de serviços, limpeza de logs e criptografia rápida. Essa abordagem reduz o risco de erro causado por nomes de grupo e mantém a investigação ancorada em evidência técnica do ambiente afetado.
- Revisar imediatamente GPOs recém-criadas ou modificadas em controladores de domínio e remover mecanismos não autorizados após preservação forense.
- Isolar hosts com
cy.exe,winutils.dll,config.inisuspeito ounotepad.exeexecutando atividade incompatível com uso normal. - Coletar memória, eventos de criação de processo, alterações de política, tarefas agendadas e amostras de arquivos afetados antes de reconstruir sistemas.
- Validar backups em ambiente limpo e verificar consistência de bancos de dados e aplicações que tiveram serviços interrompidos.
- Criar alertas para DLL side-loading envolvendo componentes assinados, criação de processos suspensos, argumentos falsificados e limpeza de logs.
- Endurecer permissões administrativas de Active Directory e auditar quem pode criar, vincular ou alterar políticas de grupo.
0 Comentários