Ransomware bílého králíka
V prosinci, těsně před koncem roku 2021, se v prostředí kybernetické kriminality objevila nová rodina ransomwaru při útoku na americkou banku. Hrozba, kterou objevili výzkumníci z Trend Micro a byla označena jako White Rabbit ransomware, vykazuje několik plně implementovaných charakteristik moderního malwaru tohoto typu. I když je šifrovací rutina Bílého králíka docela nekomplikovaná, ukazuje zvýšené zaměření na maskování svých rušivých akcí. Je třeba poznamenat, že určité detaily ukazují spojení mezi White Rabbit a skupinou APT známou jako FIN8.
Obsah
Podrobnosti o bílém králíkovi
Po analýze útoku odborníci z infosec zaznamenali známky toho, že White Rabbit byl nasazen do cílových systémů pomocí Cobalt Strike, legitimního nástroje pro testování penetrace, který se díky svým rozsáhlým funkcím stává součástí škodlivých útoků poměrně často. Skutečná binární hodnota užitečného zatížení White Rabbit je poměrně malý soubor, přibližně 100 kB, který nevykazuje žádné znatelné řetězce nebo aktivitu.
Aby White Rabbit odemkl své destruktivní schopnosti, vyžaduje specifické heslo příkazového řádku. Poté může hrozba dešifrovat svou vnitřní konfiguraci a začít provádět svou šifrovací rutinu. Není to poprvé, co byla tato konkrétní technika použita ransomwarovou hrozbou, dříve ji rodina ransomwaru Egregor využívala ke skrytí svých škodlivých akcí.
Proces šifrování a požadavky
White Rabbit se zaměřuje na širokou škálu typů souborů a vytváří textový soubor s identickou zprávou o výkupném pro každý zamčený soubor. Názvy textových souborů jsou kombinací názvu souvisejícího souboru s připojeným '.scrypt.txt.' Aby bylo zajištěno, že nebude bráněno jeho šifrovacímu procesu, je hrozba schopna ukončit specifické procesy a služby, jako jsou ty, které patří k antimalwarovým produktům. Bílý králík se také snaží zabránit zhroucení systému nebo kritickým chybám přeskakováním souborů v důležitých cestách a adresářích. Některé příklady zahrnují \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ a další.
Výkupné ukazuje, že Bílý králík provozuje schéma dvojitého vydírání. Než byly soubory uzamčeny, hackeři tvrdí, že úspěšně ukradli klíčová soukromá data. Oběti mají 4 dny na navázání kontaktu s kyberzločinci nebo budou odcizené informace zveřejněny nebo nabídnuty k prodeji konkurenčním organizacím. Potřebný dešifrovací klíč bude také odstraněn, což znemožní obnovení všech zamčených souborů.
Připojení na FIN8
Skupina FIN8 APT se zabývá především kyberšpionáží, infiltrací a průzkumnými operacemi. Existují určité podrobnosti, které spojují skupinu s hrozbou ransomwaru White Rabbit. Jak uvedli vědci z Lodestone, škodlivá adresa URL, která byla spatřena jako součást útoku White Rabbit, již dříve souvisela se skupinou FIN8. Navíc jejich zjištění ukazují, že White Rabbit používá verzi Badhatch, zadní vrátka, která je považována za součást arzenálu škodlivých nástrojů FIN8. Jestli jsou spojení mezi White Rabbit a FIN8 náhodná nebo skupina skutečně rozšiřuje své aktivity a vstupuje na scénu ransomwaru, se teprve uvidí.
