Impact of Rorschach Ransomware

Publicado hace 1 año 25-04-2023

El equipo de seguridad de Palo Alto Networks libero un aviso de seguridad con severidad informativa, el cual detalla que se ha detectado un articulo que expone un ransomware denominado “Rorschach”.
Cuando se elimina del directorio de instalación, la herramienta de Cortex XDR Dump Service (cydump.exe), que se incluye con el agente de Cortex XDR en Windows, se puede usar para cargar bibliotecas de vínculos dinámicos (DLL) que no son de confianza, haciendo uso de una técnica conocida como carga lateral de DLL.
El ransomware Rorschach usa una copia de esta herramienta y esta técnica para evadir la detección en sistemas que no tienen suficiente protección a nivel de endpoint.
Cuando el agente de Cortex XDR está instalado en Windows y el proceso de la herramienta de servicio de volcado de Cortex XDR se está ejecutando desde la ruta de instalación, no es posible cargar archivos DLL con esta técnica. Los permisos de seguridad y protecciones del agente Cortex XDR instalado lo impiden.

Severidad : Informativa

Score : TBD

Versiones Afectadas

Versions Affected Unaffected
Cortex XDR Agent 5.0 All agents on Windows  
Cortex XDR Agent 7.5 CE All agents on Windows  
Cortex XDR Agent 7.8 < Agents with content update earlier than CU-240 on Windows >= Agents with CU-240 or a later content update on Windows
Cortex XDR Agent 7.9 CE < Agents with content update earlier than CU-240 on Windows >= Agents with CU-240 or a later content update on Windows
Cortex XDR Agent 8.0 < Agents with content update earlier than CU-240 on Windows >= Agents with CU-240 or a later content update on Windows

Recomendaciones

Solución
Se lanzarán nuevas versiones del agente Cortex XDR para evitar este mal uso del software. La próxima semana se lanzará una nueva actualización de contenido para detectar y prevenir esta técnica de carga lateral de DLL.
Este boletín informativo se actualizará una vez que estén disponibles las ETA y estas actualizaciones de software.
No se planean actualizaciones para el agente Cortex XDR 5.0, ya que no tiene el módulo de protección contra amenazas de comportamiento relevante necesario para detectar esta técnica.

El ransomware es detectado y bloqueado por Cortex XDR Agent 7.7 y versiones posteriores con CU-240 (lanzado en noviembre de 2021) y actualizaciones de contenido posteriores. Este problema no representa un riesgo de vulnerabilidad del producto para los clientes que utilizan el agente Cortex XDR. Este problema no se aplica a las plataformas Mac OS y Linux.

◦ ¿Los clientes de Cortex XDR están en riesgo por este ransomware?
Palo Alto Networks ha verificado que Cortex XDR 7.7 y las versiones más recientes, con la versión de actualización de contenido 240 (lanzada en noviembre de 2021) y las actualizaciones de contenido posteriores, detectan y bloquean el ransomware. La próxima semana se lanzará una nueva actualización de contenido para detectar y evitar el uso de esta técnica de carga lateral de DLL.

◦ ¿Es esta una vulnerabilidad del producto? ¿Se puede explotar esto para ejecutar malware en puntos finales con XDR?
No. Cuando el agente de Cortex XDR está instalado en Windows y el proceso de la herramienta de servicio de volcado de Cortex XDR se está ejecutando desde la ruta de instalación, no es posible cargar archivos DLL con esta técnica. Los permisos de seguridad y las protecciones del agente instalado impiden esta técnica.

◦ ¿WildFire está detectando este ransomware?
Sí. WildFire combina múltiples técnicas, incluido el aprendizaje automático, el análisis estático y el análisis dinámico, para detectar y brindar protección contra amenazas como el ransomware Rorschach.

◦ Soy cliente de PANW, pero no uso Cortex XDR. ¿Estoy en riesgo?
El ransomware Rorschach usa una copia de Cortex XDR Dump Service Tool y esta técnica de carga lateral de DLL para evadir la detección en sistemas que no tienen suficiente protección de punto final. Esto presenta el mismo riesgo que otro malware que utiliza técnicas de carga lateral de DLL.

◦ Un escáner de seguridad marca cydump.exe como malware. ¿Cómo determino que es inofensivo?
Asegúrese de que la herramienta de servicio de volcado de Cortex XDR (cydump.exe) esté presente en el directorio apropiado donde está instalado el agente de Cortex XDR.

Referencias

Fuente Palo Alto Networks: https://security.paloaltonetworks.com/PAN-SA-2023-0002

El nombre es requerido.
El email es requerido.
El email no es válido.
El comentario es requerido.
El captcha es requerido.



Comentarios

BOLETINES DESTACADOS

Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 1 hora 19-09-2024

Broadcom ha publicado el pasado 17 de septiembre un aviso de seguridad en el que se mencionan 2 vulnerabilidades que afectan a su software de virtualización VMware. Específicamente, las vulnerabilidades son:  CVE-2024-38812, con un puntaje CVSS de 9.8, se cl......

Incidente de Seguridad Fortinet
Publicado hace 6 días 12-09-2024

Fortinet, uno de los principales actores en el sector de la ciberseguridad, ha confirmado una violación de datos tras la afirmación de un atacante de haber sustraído archivos del servidor Microsoft SharePoint de la compañía. Como una de las emp......

Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024

Microsoft, al igual que otros fabricantes, calendariza sus noticias sobre seguridad cada segundo martes de cada mes, lo cual llaman "Patch Tuesday". En este mes de septiembre de 2024, publicó en su página de Security Update Guide su aviso sobre ciberseguri......

BOLETINES RECIENTES

...
Vulnerabilidades en VMware (CVE-2024-38812 Critica 9.8, CVE-2024-38813 Alta 7.5)
Publicado hace 1 hora 19-09-2024
Leer más
...
Incidente de Seguridad Fortinet
Publicado hace 6 días 12-09-2024
Leer más
...
Vulnerabilidades Criticas en Productos Microsoft CVE-2024-38220, CVE-2024-43491
Publicado hace 1 semana 12-09-2024
Leer más