باج افزار خرگوش سفید

در ماه دسامبر، درست قبل از پایان سال 2021، یک خانواده باج افزار جدید در صحنه جرایم سایبری در حمله به یک بانک آمریکایی ظاهر شد. این تهدید که توسط محققان Trend Micro کشف شده و به عنوان باج افزار خرگوش سفید شناخته می شود، چندین ویژگی کاملاً پیاده سازی شده بدافزار مدرن از این نوع را نشان می دهد. در حالی که روال رمزگذاری White Rabbit نسبتاً بدون پیچیدگی است، تمرکز بیشتری بر پنهان کردن اقدامات مزاحم خود نشان می دهد. لازم به ذکر است که جزئیات خاصی ارتباط بین White Rabbit و گروه APT معروف به FIN8 را نشان می دهد.

جزئیات خرگوش سفید

پس از تجزیه و تحلیل این حمله، کارشناسان infosec متوجه شدند که White Rabbit از طریق استفاده از Cobalt Strike، یک ابزار تست نفوذ قانونی که اغلب به دلیل ویژگی‌های گسترده‌اش بخشی از حملات مخرب است، در سیستم‌های هدف مستقر شده است. باینری باری بار سفید خرگوش واقعی یک فایل نسبتا کوچک است، حدود 100 کیلوبایت، که هیچ رشته یا فعالیت قابل توجهی را نشان نمی دهد.

برای باز کردن قابلیت های مخرب خود، خرگوش سفید به یک رمز عبور خط فرمان خاص نیاز دارد. پس از آن، تهدید می‌تواند پیکربندی داخلی خود را رمزگشایی کند و شروع به اجرای روال رمزگذاری خود کند. این اولین بار نیست که این تکنیک خاص توسط یک تهدید باج افزار استفاده می شود، قبلاً خانواده باج افزار Egregor از آن برای پنهان کردن اقدامات مخرب خود استفاده می کردند.

فرآیند رمزگذاری و تقاضاها

White Rabbit طیف گسترده ای از انواع فایل ها را هدف قرار می دهد و برای هر فایل قفل شده یک فایل متنی با یک پیام یادداشت باج یکسان ایجاد می کند. نام فایل های متنی ترکیبی از نام فایل مربوطه است که با ".scrypt.txt" ضمیمه شده است. برای اطمینان از اینکه فرآیند رمزگذاری آن مختل نمی شود، این تهدید می تواند فرآیندها و خدمات خاصی را خاتمه دهد، مانند مواردی که متعلق به محصولات ضد بدافزار هستند. White Rabbit همچنین سعی می‌کند با پرش از فایل‌ها در مسیرها و دایرکتوری‌های مهم، از ایجاد هرگونه خرابی سیستم یا خطاهای حیاتی جلوگیری کند. برخی از مثال‌ها عبارتند از: \desktop.ini، c:\programdata\، :\windows\، %User Temp%\، :\programfiles\ و موارد دیگر.

یادداشت باج نشان می دهد که خرگوش سفید در حال اجرای یک طرح اخاذی مضاعف است. قبل از اینکه فایل ها قفل شوند، هکرها ادعا می کنند که با موفقیت داده های خصوصی مهم را به سرقت برده اند. به قربانیان 4 روز فرصت داده می شود تا با مجرمان سایبری ارتباط برقرار کنند یا اطلاعات سرقت شده در اختیار عموم قرار می گیرد یا برای فروش به سازمان های رقیب عرضه می شود. کلید رمزگشایی لازم نیز حذف می شود و بازیابی همه فایل های قفل شده غیرممکن می شود.

اتصال به FIN8

گروه FIN8 APT در درجه اول در عملیات های جاسوسی سایبری، نفوذ و شناسایی شرکت دارد. جزئیات خاصی وجود دارد که این گروه را به تهدید باج افزار White Rabbit مرتبط می کند. همانطور که توسط محققان Lodestone بیان شد، URL مخربی که به عنوان بخشی از حمله White Rabbit دیده می شود، قبلاً به گروه FIN8 مربوط می شد. علاوه بر این، یافته‌های آنها نشان می‌دهد که خرگوش سفید از نسخه‌ای از Badhatch استفاده می‌کند، درب پشتی که بخشی از زرادخانه ابزارهای مخرب FIN8 محسوب می‌شود. اگر اتصالات بین White Rabbit و FIN8 تصادفی باشد یا گروه در واقع در حال گسترش فعالیت های خود و ورود به صحنه باج افزار باشد، باید دید.