White Rabbit Ransomware
Τον Δεκέμβριο, ακριβώς πριν από το τέλος του 2021, μια νέα οικογένεια ransomware εμφανίστηκε στο τοπίο του εγκλήματος στον κυβερνοχώρο σε μια επίθεση εναντίον μιας αμερικανικής τράπεζας. Ανακαλύφθηκε από τους ερευνητές της Trend Micro και χαρακτηρίστηκε ως White Rabbit ransomware, η απειλή εμφανίζει πολλαπλά χαρακτηριστικά πλήρους εφαρμογής σύγχρονου κακόβουλου λογισμικού αυτού του τύπου. Ενώ η ρουτίνα κρυπτογράφησης του White Rabbit είναι αρκετά απλή, δείχνει αυξημένη εστίαση στην απόκρυψη των παρεμβατικών ενεργειών του. Θα πρέπει να σημειωθεί ότι ορισμένες λεπτομέρειες δείχνουν μια σύνδεση μεταξύ του White Rabbit και της ομάδας APT που είναι γνωστή ως FIN8.
Πίνακας περιεχομένων
Λεπτομέρειες Λευκού Κουνελιού
Μετά την ανάλυση της επίθεσης, οι ειδικοί του infosec παρατήρησαν σημάδια ότι το White Rabbit είχε αναπτυχθεί στα στοχευμένα συστήματα μέσω της χρήσης του Cobalt Strike, ενός νόμιμου εργαλείου δοκιμών διείσδυσης που βρίσκεται πολύ συχνά ως μέρος κακόβουλων επιθέσεων λόγω των εκτεταμένων χαρακτηριστικών του. Το πραγματικό δυαδικό ωφέλιμο φορτίο White Rabbit είναι ένα μάλλον μικρό αρχείο, περίπου 100 KB, που δεν εμφανίζει αξιοσημείωτες συμβολοσειρές ή δραστηριότητα.
Για να ξεκλειδώσει τις καταστροφικές του δυνατότητες, το White Rabbit απαιτεί έναν συγκεκριμένο κωδικό πρόσβασης στη γραμμή εντολών. Στη συνέχεια, η απειλή μπορεί να αποκρυπτογραφήσει την εσωτερική της διαμόρφωση και να αρχίσει να εκτελεί τη ρουτίνα κρυπτογράφησης. Δεν είναι η πρώτη φορά που αυτή η συγκεκριμένη τεχνική χρησιμοποιείται από απειλή ransomware, προηγουμένως η οικογένεια ransomware Egregor τη χρησιμοποιούσε για να κρύψει τις κακόβουλες ενέργειές της.
Διαδικασία κρυπτογράφησης και απαιτήσεις
Το White Rabbit στοχεύει ένα ευρύ φάσμα τύπων αρχείων και δημιουργεί ένα αρχείο κειμένου με ένα πανομοιότυπο μήνυμα σημείωσης λύτρων για κάθε κλειδωμένο αρχείο. Τα ονόματα των αρχείων κειμένου είναι ένας συνδυασμός του ονόματος του σχετικού αρχείου που επισυνάπτεται με το '.scrypt.txt. Για να διασφαλιστεί ότι η διαδικασία κρυπτογράφησης δεν παρεμποδίζεται, η απειλή μπορεί να τερματίσει συγκεκριμένες διαδικασίες και υπηρεσίες, όπως αυτές που ανήκουν σε προϊόντα κατά του κακόβουλου λογισμικού. Το White Rabbit προσπαθεί επίσης να αποφύγει τυχόν σφάλματα συστήματος ή κρίσιμα σφάλματα παρακάμπτοντας τα αρχεία σε σημαντικές διαδρομές και καταλόγους. Μερικά παραδείγματα περιλαμβάνουν τα \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ και άλλα.
Το σημείωμα λύτρων δείχνει ότι το White Rabbit εκτελεί ένα σχέδιο διπλής εκβίασης. Πριν κλειδωθούν τα αρχεία, οι χάκερ ισχυρίζονται ότι έχουν κλέψει με επιτυχία κρίσιμα προσωπικά δεδομένα. Τα θύματα δίνονται 4 ημέρες για να έρθουν σε επαφή με τους κυβερνοεγκληματίες ή οι κλεμμένες πληροφορίες θα δημοσιοποιηθούν ή θα προσφερθούν προς πώληση σε ανταγωνιστικές οργανώσεις. Το απαραίτητο κλειδί αποκρυπτογράφησης θα διαγραφεί επίσης, καθιστώντας αδύνατη την επαναφορά όλων των κλειδωμένων αρχείων.
Σύνδεση στο FIN8
Η ομάδα FIN8 APT εμπλέκεται κυρίως σε επιχειρήσεις κυβερνοκατασκοπείας, διείσδυσης και αναγνώρισης. Υπάρχουν ορισμένες λεπτομέρειες που συνδέουν την ομάδα με την απειλή ransomware White Rabbit. Όπως αναφέρουν οι ερευνητές από το Lodestone, το κακόβουλο URL που θεωρείται ως μέρος της επίθεσης White Rabbit είχε προηγουμένως συσχετιστεί με την ομάδα FIN8. Επιπλέον, τα ευρήματά τους δείχνουν ότι το White Rabbit χρησιμοποιεί μια έκδοση του Badhatch, μια κερκόπορτα που θεωρείται μέρος του οπλοστασίου κακόβουλων εργαλείων του FIN8. Αν οι συνδέσεις μεταξύ White Rabbit και FIN8 είναι τυχαίες ή εάν η ομάδα επεκτείνει πραγματικά τις δραστηριότητές της και εισέρχεται στη σκηνή του ransomware, μένει να φανεί.
