Бял заек Ransomware
Още през декември, точно преди края на 2021 г., ново семейство рансъмуер се появи в пейзажа на киберпрестъпленията в атака срещу американска банка. Открита от изследователите в Trend Micro и приета като White Rabbit ransomware, заплахата показва множество напълно внедрени характеристики на съвременния зловреден софтуер от този тип. Докато рутината за криптиране на White Rabbit е доста неусложнена, тя показва повишен фокус върху маскирането на натрапчивите му действия. Трябва да се отбележи, че някои подробности показват връзка между White Rabbit и групата APT, известна като FIN8.
Съдържание
Подробности за Белия заек
След анализиране на атаката, експертите на infosec забелязаха признаци, че White Rabbit е разгърнат в целевите системи чрез използването на Cobalt Strike, легитимен инструмент за тестване на проникване, който често се оказва част от злонамерени атаки поради своите обширни функции. Действителният двоичен файл с полезен товар на White Rabbit е доста малък файл, около 100KB, който не показва никакви забележими низове или активност.
За да отключи разрушителните си способности, White Rabbit изисква конкретна парола от командния ред. След това заплахата може да дешифрира вътрешната си конфигурация и да започне да изпълнява своята рутина за криптиране. Това не е първият път, когато тази конкретна техника е била използвана от заплаха за рансъмуер, преди семейството на ransomware Egregor я използва, за да скрие своите злонамерени действия.
Процес на криптиране и изисквания
White Rabbit се насочва към широк спектър от типове файлове и създава текстов файл с идентично съобщение за бележка за откуп за всеки заключен файл. Имената на текстовите файлове са комбинация от името на свързания файл, добавено с „.scrypt.txt“. За да се гарантира, че нейният процес на криптиране не е възпрепятстван, заплахата е в състояние да прекрати специфични процеси и услуги, като тези, принадлежащи към продукти за защита от зловреден софтуер. White Rabbit също се опитва да избегне причиняването на системни сривове или критични грешки, като пропуска файловете във важни пътища и директории. Някои примери включват \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ и др.
Бележката за откуп показва, че Белият заек работи по схема за двойно изнудване. Преди файловете да бъдат заключени, хакерите твърдят, че успешно са откраднали важни лични данни. На жертвите се дава 4 дни, за да установят контакт с киберпрестъпниците или откраднатата информация ще бъде разпространена на обществеността или предложена за продажба на конкуриращи се организации. Необходимият ключ за декриптиране също ще бъде изтрит, което ще направи невъзможно възстановяването на всички заключени файлове.
Връзка към FIN8
Групата FIN8 APT участва предимно в кибершпионаж, инфилтрация и разузнавателни операции. Има някои подробности, които свързват групата със заплахата за откуп от White Rabbit. Както твърдят изследователите от Lodestone, злонамереният URL, видян като част от атаката на White Rabbit, преди е бил свързан с групата FIN8. Освен това техните открития показват, че White Rabbit използва версия на Badhatch, бекдор, който се счита за част от арсенала от злонамерени инструменти на FIN8. Остава да видим дали връзките между White Rabbit и FIN8 са случайни или групата действително разширява дейността си и навлиза в сцената на ransomware.
