رانسومواري الأرنب الأبيض
مرة أخرى في ديسمبر ، قبل نهاية عام 2021 مباشرة ، ظهرت عائلة برامج فدية جديدة على مشهد الجرائم الإلكترونية في هجوم على بنك أمريكي. اكتشفه الباحثون في Trend Micro وتم تصنيفه باعتباره White Rabbit ransomware ، يعرض التهديد العديد من خصائص التنفيذ الكامل للبرامج الضارة الحديثة من هذا النوع. في حين أن روتين تشفير White Rabbit غير معقد إلى حد ما ، فإنه يُظهر تركيزًا متزايدًا على إخفاء أفعاله المتطفلة. وتجدر الإشارة إلى أن بعض التفاصيل تظهر وجود صلة بين White Rabbit ومجموعة APT المعروفة باسم FIN8.
جدول المحتويات
تفاصيل الأرنب الأبيض
بعد تحليل الهجوم ، لاحظ خبراء أمن المعلومات إشارات على نشر White Rabbit في الأنظمة المستهدفة من خلال استخدام Cobalt Strike ، وهي أداة اختبار اختراق شرعية تجد نفسها جزءًا من الهجمات الضارة في كثير من الأحيان بسبب ميزاتها الواسعة. يعتبر ملف White Rabbit الثنائي الفعلي عبارة عن ملف صغير نوعًا ما ، حوالي 100 كيلو بايت ، ولا يُظهر أي سلاسل أو نشاط ملحوظ.
لإلغاء تأمين قدراته التدميرية ، يتطلب White Rabbit كلمة مرور محددة لسطر الأوامر. بعد ذلك ، يمكن للتهديد فك تشفير التكوين الداخلي الخاص به والبدء في تنفيذ روتين التشفير الخاص به. ليست هذه هي المرة الأولى التي يتم فيها استخدام هذه التقنية المعينة من قبل تهديد برامج الفدية ، فقد استخدمتها عائلة Egregor Ransomware سابقًا لإخفاء أفعالها الضارة.
عملية التشفير والطلبات
يستهدف White Rabbit نطاقًا واسعًا من أنواع الملفات وينشئ ملفًا نصيًا مع رسالة ملاحظة فدية متطابقة لكل ملف مقفل. أسماء الملفات النصية هي مجموعة من اسم الملف ذي الصلة الملحق بـ ".scrypt.txt." لضمان عدم إعاقة عملية التشفير الخاصة به ، يكون التهديد قادرًا على إنهاء عمليات وخدمات معينة ، مثل تلك التي تنتمي إلى منتجات مكافحة البرامج الضارة. يحاول White Rabbit أيضًا تجنب التسبب في أي أعطال في النظام أو أخطاء فادحة عن طريق تخطي الملفات في المسارات والأدلة المهمة. تتضمن بعض الأمثلة \ desktop.ini و c: \ programdata \ و: \ windows \ و٪ User Temp٪ \ و: \ programfiles \ والمزيد.
تُظهر مذكرة الفدية أن White Rabbit يدير مخطط ابتزاز مزدوج. قبل أن يتم قفل الملفات ، يزعم المتسللون أنهم سرقوا بنجاح بيانات خاصة مهمة. يتم منح الضحايا 4 أيام لإقامة اتصال مع مجرمي الإنترنت أو سيتم الإفراج عن المعلومات المسروقة للجمهور أو عرضها للبيع للمنظمات المنافسة. سيتم أيضًا حذف مفتاح فك التشفير الضروري ، مما يجعل استعادة جميع الملفات المقفلة أمرًا مستحيلًا.
الاتصال بـ FIN8
تشارك مجموعة FIN8 APT بشكل أساسي في عمليات التجسس الإلكتروني والتسلل والاستطلاع. هناك بعض التفاصيل التي تربط المجموعة بتهديد White Rabbit ransomware. كما ذكر الباحثون من Lodestone ، فإن عنوان URL الضار الذي شوهد كجزء من هجوم White Rabbit كان مرتبطًا سابقًا بمجموعة FIN8. بالإضافة إلى ذلك ، تظهر النتائج التي توصلوا إليها أن White Rabbit يستخدم نسخة من Badhatch ، وهو باب خلفي يعتبر جزءًا من ترسانة FIN8 للأدوات الخبيثة. إذا كانت الاتصالات بين White Rabbit و FIN8 عرضية أو كانت المجموعة تقوم بالفعل بتوسيع أنشطتها ودخول مشهد برامج الفدية فلا يزال يتعين رؤيته.
