בעקבות מתקפת סייבר על חברה בארה"ב גילו אנליסטים את מה שנראה כזן חדש של כופרה בעלת תכונות ייחודיות מבחינה טכנית, שאותה הם כינו Rorschach. בין היכולות של Rorschach נצפתה מהירות ההצפנה, שלפי בדיקות החוקרים הופכת את הכופרה למצפינת המידע המהירה ביותר כיום.
האנליסטים גם גילו שהאקרים פרסו את הכופרה ברשת המחשוב של הקורבנות לאחר מינוף חולשה בכלי זיהוי איומים ותגובה לאירועים: כופרת Rorschach נפרסת באמצעות טכניקת טעינת הצד של DLL באמצעות רכיב חתום ב- Cortex XDR, מוצר הזיהוי והתגובה המורחב של Palo Alto Networks. ההאקרים השתמשו בכלי Cortex XDR Dump Service Tool (cy.exe) גרסה 7.3.0.16740 כדי להטעין את המעמיס והמזרק של Rorschach (winutils.dll), מה שהוביל להפעלת מטען הכופר, "config.ini", לתוך תהליך פנקס רשימות. קובץ הטעינה כולל הגנת אנטי-אנליזה בסגנון UPX, בעוד המטען הראשי מוגן מפני הנדסה הפוכה וזיהוי על ידי וירטואליזציה של חלקים מהקוד באמצעות תוכנת VMProtect.
חברת צ'ק פוינט מדווחת שכופרת Rorschach יוצרת מדיניות קבוצתית כאשר היא מופעלת בבקר דומיין של Windows, כדי לאפשר הפצת הכופרה למארחים אחרים בדומיין. לאחר פגיעה במכונה, מוחקת הכופרה ארבעה יומני אירועים (יישום, אבטחה, מערכת ו- Windows Powershell) כדי למחוק את עקבותיה.
למרות שהכופרה מגיעה עם תצורה מקודדת, תומכת Rorschach בארגומנטים של שורת פקודה המרחיבים את הפונקציונליות. צ'ק פוינט מציינת שהאפשרויות מוסתרות ולא ניתן לגשת אליהן ללא הנדסה לאחור של הכופרה. Rorschach תתחיל להצפין נתונים רק אם מכונת הקורבן מוגדרת עם שפה מחוץ למדינות חבר העמים. סכימת ההצפנה משלבת את האלגוריתמים curve25519 ו- eSTREAM cipher hc-128 ועוקבת אחר מגמת ההצפנה לסירוגין, כלומר היא מצפינה את הקבצים באופן חלקי בלבד וניחנת במהירות עיבוד מוגברת.
האנליסטים של צ'ק פוינט מציינים ששגרת ההצפנה של Rorschach מצביעה על יישום יעיל ביותר של תזמון שרשור באמצעות יציאות השלמת I/O. בנוסף, נראה שאופטימיזציה של המהדר היא בראש סדר העדיפויות של המהירות, כאשר חלק גדול מהקוד מוטבע. כל הגורמים הללו מצביעים על כך שזוהי אחת הכופרות המהירות ביותר שיש. כדי לגלות כמה מהירה ההצפנה של Rorschach, הגדירה צ'ק פוינט בדיקה עם 220,000 קבצים במכונת מעבד 6 ליבות. לקח לכופרת Rorschach לא יותר מ- 4.5 דקות להצפין את הנתונים ואילו LockBit v3.0, שנחשב לזן המהיר ביותר של כופרה, לקח 7 דקות. לאחר נעילת המערכת, מציגה הכופרה פתק כופר בדומה לפורמט שבו משתמשת כופרת Yanlowang.
כרגע נותרו המפעילים של כופרת Rorschach עלומים וללא מיתוג, דבר שרואים רק לעתים רחוקות בזירת הכופרות.