Новият щам на бял заек Ransomware има възможни връзки с Egregor
Изследователи по сигурността публикуваха неотдавнашен доклад за нов щам откуп софтуер. Новият ransomware е член на собственото си семейство и е наречен White Rabbit, на името на сладкото ASCII зайче, което се показва в бележката за откуп. Смята се, че ransomware е свързан с усъвършенствания актьор за постоянна заплаха, известен като APT8.
APT8 е един от финансово мотивираните APT в ландшафта на заплахите, който е активен от 2018 г. и стартира атаки на ransomware срещу бизнеси в ресторантьорството, хотелиерството и търговията на дребно.
Съдържание
Прилики между Бял заек и Егрегор
Фирмата за сигурност Trend Micro публикува доклад за новия изкупуващ софтуер White Rabbit и очерта някои прилики между новия щам и по-рано познатия ransomware Egregor. Двата вида ransomware имат някои много сходни методи и подходи, когато става въпрос за начина, по който крият следите си и се опитват да избегнат откриването, въпреки че са достатъчно различни, за да бъдат класифицирани като две различни семейства.
White Rabbit за първи път беше разгледан по-подробно преди няколко месеца, точно преди Коледа 2021 г. Независимият изследовател Майкъл Гилеспи публикува публикация в Twitter, съдържаща екранни снимки на пълната бележка за откуп на White Rabbit и няколко примерни криптирани файла, показващи разширението, използвано за криптирани файлове.
Бял заек отива за двойно изнудване
Рансъмуерът White Rabbit отива за двойно изнудване - метод, който почти се превърна в норма, когато става въпрос за атаки на ransomware. Бележката за откуп заплашва, че хакерите ще публикуват чувствителна ексфилтрирана информация, ако откупът не бъде платен. През последната година двойното изнудване стана толкова широко разпространено, че ако нов участник в заплахата не успее да го направи, това е почти любопитно изключение.
Анализът на полезния товар на White Rabbit показа, че първоначалният полезен товар на рансъмуера е криптиран и трябва да използва низ от парола, за да декриптира вътрешната конфигурация на крайния полезен товар. В извадката, анализирана от изследователи, низът с парола, използван за този вътрешен процес на декриптиране, е „KissMe“. Рансъмуерът Egregor използва много сходни техники за обфускиране, за да скрие собствената си злонамерена дейност, което доведе до установяване на възможна връзка между двете семейства рансъмуер.
Освен това, някои от техниките и методите, използвани от White Rabbit, са много сходни с методологията на заплахата, известна като APT8.
Бележки за откуп навсякъде!
На техническо ниво, White Rabbit не прави нищо невероятно иновативно. Рансъмуерът криптира файлове в целевата система, като същевременно избягва всякакви папки и файлове, които могат да компрометират цялостната стабилност на системата. Директории, съдържащи системни драйвери, файлове на Windows OS и инсталиран софтуер под Program Files, се запазват непокътнати. Всички други потребителски файлове са криптирани и разширението .scrypt се добавя към криптираните файлове. Откупът също така пуска бележката си за откуп покрай всеки криптиран файл, създавайки бележки за откуп с име filename.ext.scrypt.txt.