White Rabbit Ransomware
Tilbage i december, lige inden udgangen af 2021, dukkede en ny ransomware-familie op på cyberkriminalitetslandskabet i et angreb mod en amerikansk bank. Opdaget af forskerne hos Trend Micro og betegnet som White Rabbit ransomware, truslen viser flere fuldt implementerede egenskaber for moderne malware af denne type. Mens White Rabbits krypteringsrutine er ret ukompliceret, viser den et øget fokus på at maskere dens påtrængende handlinger. Det skal bemærkes, at visse detaljer viser en forbindelse mellem White Rabbit og APT-gruppen kendt som FIN8.
Indholdsfortegnelse
Hvid kanin detaljer
Efter at have analyseret angrebet bemærkede infosec-eksperterne tegn på, at White Rabbit blev indsat til de målrettede systemer gennem brugen af Cobalt Strike, et legitimt penetrationstestværktøj, der ofte er en del af ondsindede angreb på grund af dets omfattende funktioner. Den faktiske White Rabbit nyttelast binær er en ret lille fil, omkring 100KB, som ikke viser nogen mærkbare strenge eller aktivitet.
For at låse op for dens destruktive egenskaber kræver White Rabbit en specifik kommandolinjeadgangskode. Bagefter kan truslen dekryptere sin interne konfiguration og begynde at udføre sin krypteringsrutine. Dette er ikke første gang, denne særlige teknik er blevet brugt af en ransomware-trussel, tidligere brugte Egregor ransomware-familien den til at skjule sine ondsindede handlinger.
Krypteringsproces og krav
White Rabbit retter sig mod en lang række filtyper og opretter en tekstfil med en identisk løsesum-besked for hver låst fil. Navnene på tekstfilerne er en kombination af navnet på den relaterede fil tilføjet '.scrypt.txt.' For at sikre, at dens krypteringsproces ikke hæmmes, er truslen i stand til at afslutte specifikke processer og tjenester, såsom dem, der tilhører anti-malware-produkter. White Rabbit forsøger også at undgå at forårsage systemnedbrud eller kritiske fejl ved at springe filerne over i vigtige stier og mapper. Nogle eksempler inkluderer \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ og mere.
Løsesedlen viser, at White Rabbit kører en dobbeltafpresningsordning. Inden filerne er blevet låst, hævder hackerne at have stjålet vigtige private data. Ofre får 4 dage til at etablere kontakt med de cyberkriminelle, ellers vil den stjålne information blive frigivet til offentligheden eller udbudt til salg til konkurrerende organisationer. Den nødvendige dekrypteringsnøgle vil også blive slettet, hvilket gør gendannelse af alle låste filer umulig.
Tilslutning til FIN8
FIN8 APT-gruppen er primært involveret i cyberspionage, infiltration og rekognosceringsoperationer. Der er visse detaljer, der forbinder gruppen med White Rabbit ransomware-truslen. Som anført af forskerne fra Lodestone, har den ondsindede URL set som en del af White Rabbit-angrebet tidligere været relateret til FIN8-gruppen. Derudover viser deres resultater, at White Rabbit bruger en version af Badhatch, en bagdør, der anses for at være en del af FIN8's arsenal af ondsindede værktøjer. Hvis forbindelserne mellem White Rabbit og FIN8 er tilfældige, eller gruppen rent faktisk udvider sine aktiviteter og går ind i ransomware-scenen, er endnu uvist.
