تراخيص الأجهزة المتعددة (خصومات كبيرة)
Computer Security سلالة رانسومواري الأرنب الأبيض الجديد لها روابط محتملة بـ...

سلالة رانسومواري الأرنب الأبيض الجديد لها روابط محتملة بـ Egregor

بواسطة Mura في Computer Security
ترجمة الى:
العربية

نشر باحثون أمنيون تقريرًا حديثًا عن سلسلة جديدة من برامج الفدية الضارة. يعد برنامج الفدية الجديد أحد أفراد عائلته وقد أطلق عليه اسم White Rabbit ، على اسم أرنب ASCII اللطيف الذي يظهر في مذكرة الفدية. يُعتقد أن برنامج الفدية مرتبط بفاعل التهديد المستمر المتقدم المعروف باسم APT8.

APT8 هي واحدة من APTs ذات الدوافع المالية في مجال التهديدات ، والتي كانت نشطة منذ عام 2018 وشنت هجمات فدية ضد الشركات في المطاعم والضيافة وصناعات البيع بالتجزئة.

أوجه التشابه بين White Rabbit و Egregor

نشرت شركة الأمن Trend Micro تقريرًا عن White Rabbit ransomware الجديد وحددت بعض أوجه التشابه بين السلالة الجديدة و Egregor ransomware المعروف سابقًا. لدى سلالتي برامج الفدية بعض الأساليب والأساليب المتشابهة جدًا عندما يتعلق الأمر بالطريقة التي يخفيون بها مساراتهم ويحاولون تجنب اكتشافها ، على الرغم من اختلافهما بدرجة كافية ليتم تصنيفهما على أنهما عائلتان مختلفتان.

تم فحص White Rabbit لأول مرة بمزيد من التفاصيل قبل شهرين ، قبل عيد الميلاد عام 2021 مباشرة. نشر الباحث المستقل مايكل جيليسبي منشورًا على Twitter يحتوي على لقطات من مذكرة الفدية الكاملة لـ White Rabbit واثنين من عينات الملفات المشفرة ، والتي تعرض الامتداد المستخدم للتشفير الملفات.

يذهب الأرنب الأبيض لابتزاز مزدوج

يستخدم White Rabbit Ransomware للابتزاز المزدوج - وهي طريقة أصبحت تقريبًا هي القاعدة عندما يتعلق الأمر بهجمات برامج الفدية. تهدد مذكرة الفدية بأن المتسللين سينشرون معلومات حساسة مسربة إذا لم يتم دفع الفدية. على مدار العام الماضي ، انتشر الابتزاز المزدوج على نطاق واسع لدرجة أنه إذا فشل ممثل تهديد جديد في تحقيقه ، فإنه يكاد يكون استثناءً غريبًا.

أظهر تحليل حمولة White Rabbit أن الحمولة الأولية لبرامج الفدية مشفرة وتحتاج إلى استخدام سلسلة كلمة مرور لفك تشفير التكوين الداخلي للحمولة النهائية. في العينة التي حللها الباحثون ، كانت سلسلة كلمة المرور المستخدمة في عملية فك التشفير الداخلية "KissMe". استخدم برنامج الفدية Egregor تقنيات تشويش مشابهة جدًا لإخفاء نشاطه الضار ، مما أدى إلى إنشاء رابط محتمل بين عائلتَي برامج الفدية.

بالإضافة إلى ذلك ، فإن بعض التقنيات والأساليب المستخدمة من قبل White Rabbit تشبه إلى حد بعيد منهجية عامل التهديد المعروف باسم APT8.

ملاحظات الفدية في كل مكان!

على المستوى التقني ، لا يقوم White Rabbit بأي شيء مبتكر بشكل لا يصدق. تقوم برامج الفدية بتشفير الملفات الموجودة على النظام المستهدف مع تجنب أي مجلدات وملفات قد تعرض استقرار النظام بشكل عام للخطر. تظل الدلائل التي تحتوي على برامج تشغيل النظام وملفات Windows OS والبرامج المثبتة ضمن Program Files كما هي. يتم تشفير كافة ملفات المستخدم الأخرى ، ويتم إضافة الملحق .scrypt إلى الملفات المشفرة. يقوم برنامج الفدية أيضًا بإسقاط مذكرة الفدية الخاصة به على طول كل ملف مشفر ، مما ينتج عنه ملاحظات فدية باسم filename.ext.scrypt.txt.

جار التحميل...