White Rabbit Ransomware
Detsembris, vahetult enne 2021. aasta lõppu, kerkis küberkuritegevuse maastikule uus lunavaraperekond rünnakus USA panga vastu. Trend Micro teadlaste avastanud ja White Rabbiti lunavarana tembeldatud oht kuvab seda tüüpi kaasaegse pahavara mitmeid täielikult rakendatavaid omadusi. Kuigi White Rabbiti krüpteerimisrutiin on üsna lihtne, näitab see suuremat tähelepanu oma pealetükkivate toimingute varjamisele. Tuleb märkida, et teatud üksikasjad näitavad seost White Rabbiti ja FIN8 nime all tuntud APT grupi vahel.
Sisukord
Valge jänese üksikasjad
Rünnaku analüüsimise järel märkasid infoseci eksperdid märke, et White Rabbit viidi sihitud süsteemidesse Cobalt Strike'i abil. See on legitiimne läbitungimise testimise tööriist, mis oma ulatuslike funktsioonide tõttu leiab end pahatahtlike rünnakute osana üsna sageli. Tegelik White Rabbiti kasuliku koormuse binaarfail on üsna väike, umbes 100 KB fail, mis ei näita märgatavaid stringe ega tegevust.
Hävitavate võimaluste avamiseks nõuab White Rabbit spetsiaalset käsurea parooli. Seejärel saab oht oma sisemise konfiguratsiooni dekrüpteerida ja alustada krüpteerimisrutiini täitmist. See pole esimene kord, kui lunavaraoht seda tehnikat kasutab, varem kasutas lunavaraperekond Egregor seda oma pahatahtlike tegude varjamiseks.
Krüpteerimisprotsess ja nõuded
White Rabbit sihib laia valikut failitüüpe ja loob iga lukustatud faili jaoks identse lunarahasõnumiga tekstifaili. Tekstifailide nimed on kombinatsioon seotud faili nimest, millele on lisatud ".scrypt.txt". Tagamaks, et selle krüpteerimisprotsessi ei takistata, on oht võimeline lõpetama teatud protsessid ja teenused, näiteks need, mis kuuluvad pahavaravastaste toodete hulka. White Rabbit püüab vältida ka süsteemi krahhide või kriitiliste vigade põhjustamist, jättes vahele olulistes teede ja kataloogides olevad failid. Mõned näited hõlmavad \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ ja palju muud.
Lunarahakiri näitab, et White Rabbit juhib topeltväljapressimise skeemi. Enne failide lukustamist väidavad häkkerid, et on edukalt varastanud olulised privaatsed andmed. Ohvritele antakse 4 päeva aega küberkurjategijatega kontakti loomiseks või varastatud teave avalikustatakse või pakutakse müügiks konkureerivatele organisatsioonidele. Samuti kustutatakse vajalik dekrüpteerimisvõti, mis muudab kõigi lukustatud failide taastamise võimatuks.
Ühendus FIN8-ga
FIN8 APT grupp tegeleb peamiselt küberspionaaži, infiltratsiooni ja luureoperatsioonidega. Teatud üksikasjad seovad grupi White Rabbiti lunavaraohuga. Nagu väitsid Lodestone'i teadlased, on White Rabbiti rünnaku osana nähtud pahatahtlik URL varem olnud seotud grupiga FIN8. Lisaks näitavad nende leiud, et White Rabbit kasutab Badhatchi versiooni, tagaukse, mida peetakse FIN8 pahatahtlike tööriistade arsenali osaks. Kui White Rabbiti ja FIN8 vahelised seosed on juhuslikud või rühmitus tegelikult oma tegevust laiendab ja lunavara areenile siseneb, jääb üle oodata.
