Nový kmen White Rabbit Ransomware má možné vazby na Egregor
Bezpečnostní výzkumníci zveřejnili nedávnou zprávu o novém druhu ransomwaru. Nový ransomware je členem své vlastní rodiny a byl nazván Bílý králík, podle roztomilého zajíčka ASCII, který se objevuje v poznámce o výkupném. Předpokládá se, že ransomware souvisí s pokročilým aktérem perzistentních hrozeb známým jako APT8.
APT8 je jedním z finančně motivovaných APT v oblasti hrozeb, který je aktivní od roku 2018 a zahájil ransomwarové útoky proti podnikům v oblasti restaurací, pohostinství a maloobchodu.
Obsah
Podobnosti mezi bílým králíkem a Egregorem
Bezpečnostní firma Trend Micro zveřejnila zprávu o novém ransomwaru White Rabbit a nastínila některé podobnosti mezi novým kmenem a dříve známým ransomwarem Egregor. Tyto dva kmeny ransomwaru mají některé velmi podobné metody a přístupy, pokud jde o způsob, jakým skrývají své stopy a snaží se vyhnout detekci, i když jsou dostatečně odlišné, aby byly klasifikovány jako dvě různé rodiny.
White Rabbit byl poprvé podrobněji prozkoumán před několika měsíci, těsně před Vánocemi 2021. Nezávislý výzkumník Michael Gillespie zveřejnil na Twitteru příspěvek obsahující snímky obrazovky plného výkupného White Rabbit a několik ukázkových zašifrovaných souborů, které předvádějí rozšíření používané pro šifrování. soubory.
Bílý králík jde na dvojité vydírání
Ransomware White Rabbit jde o dvojité vydírání – metodu, která se téměř stala normou, pokud jde o ransomwarové útoky. Výkupné hrozí, že hackeři zveřejní citlivé exfiltrované informace, pokud nebude výkupné zaplaceno. Za poslední rok se dvojnásobné vydírání tak rozšířilo, že pokud se novému aktérovi hrozby nepodaří do toho jít, je to téměř kuriózní výjimka.
Analýza užitečného zatížení White Rabbit ukázala, že počáteční obsah ransomwaru je zašifrován a k dešifrování vnitřní konfigurace konečného obsahu je třeba použít řetězec hesla. Ve vzorku analyzovaném výzkumníky byl řetězec hesla použitý pro tento proces vnitřního dešifrování „KissMe“. Ransomware Egregor používal velmi podobné techniky zmatku ke skrytí své vlastní škodlivé aktivity, což vedlo k vytvoření možného spojení mezi dvěma rodinami ransomwaru.
Některé techniky a metody používané Bílým králíkem jsou navíc velmi podobné metodologii aktéra hrozby známého jako APT8.
Výkupné všude!
Na technické úrovni White Rabbit nedělá nic neuvěřitelně inovativního. Ransomware šifruje soubory v cílovém systému a zároveň se vyhýbá všem složkám a souborům, které by mohly ohrozit celkovou stabilitu systému. Adresáře obsahující systémové ovladače, soubory operačního systému Windows a nainstalovaný software v části Program Files jsou zachovány. Všechny ostatní uživatelské soubory jsou zašifrovány a k zašifrovaným souborům je přidána přípona .scrypt. Ransomware také ukládá svou poznámku o výkupném u každého zašifrovaného souboru a vytváří poznámky o výkupném s názvem filename.ext.scrypt.txt.