Uudella White Rabbit Ransomware -kannalla voi olla yhteyksiä Egregoriin
Tietoturvatutkijat julkaisivat tuoreen raportin uudesta kiristysohjelmakannasta. Uusi ransomware on oman perheensä jäsen, ja se on nimetty White Rabbitiksi söpön ASCII-pupun mukaan, joka näkyy lunnausviestissä. Kiristysohjelman uskotaan liittyvän kehittyneeseen jatkuvaan uhkatekijään, joka tunnetaan nimellä APT8.
APT8 on yksi taloudellisesti motivoituneista uhkakuvien APT:istä, joka on ollut aktiivinen vuodesta 2018 lähtien ja on käynnistänyt lunnasohjelmahyökkäyksiä ravintola-, ravintola- ja vähittäiskaupan yrityksiä vastaan.
Sisällysluettelo
Yhtäläisyydet valkoisen kanin ja egregorin välillä
Tietoturvayritys Trend Micro julkaisi raportin uudesta White Rabbit ransomwaresta ja hahmotteli joitain yhtäläisyyksiä uuden kannan ja aiemmin tunnetun Egregor ransomwaren välillä. Näillä kahdella ransomware-ohjelmalla on joitain hyvin samankaltaisia menetelmiä ja lähestymistapoja, kun kyse on tavasta, jolla ne piilottavat jälkensä ja yrittävät välttää havaitsemista, vaikka ne ovatkin tarpeeksi erilaisia luokitellaan kahdeksi eri perheeksi.
White Rabbitia tutkittiin ensimmäisen kerran tarkemmin pari kuukautta sitten, juuri ennen joulua 2021. Riippumaton tutkija Michael Gillespie julkaisi Twitter-viestin, joka sisälsi kuvakaappauksia White Rabbitin täydestä lunnaista ja pari esimerkkisalattua tiedostoa. tiedostot.
White Rabbit pyrkii kaksinkertaiseen kiristykseen
White Rabbit ransomware sopii kaksinkertaiseen kiristykseen – menetelmästä, josta on melkein tullut normi kiristysohjelmien hyökkäyksissä. Lunnasviesti uhkaa, että hakkerit julkaisevat arkaluontoisia suodatettuja tietoja, jos lunnaita ei makseta. Viimeisen vuoden aikana kaksinkertainen kiristys on levinnyt niin laajalle, että jos uusi uhkatoimija epäonnistuu siinä, se on melkein outo poikkeus.
White Rabbitin hyötykuorman analyysi osoitti, että kiristysohjelman alkuperäinen hyötykuorma on salattu ja sen on käytettävä salasanamerkkijonoa lopullisen hyötykuorman sisäisen konfiguraation purkamiseen. Tutkijoiden analysoimassa otoksessa sisäisessä salauksenpurkuprosessissa käytetty salasanamerkkijono oli "KissMe". Egregor ransomware käytti hyvin samankaltaisia hämärtymistekniikoita piilottaakseen oman haitallisen toimintansa, mikä johti mahdollisen linkin luomiseen kahden kiristysohjelmaperheen välille.
Lisäksi jotkut White Rabbitin käyttämistä tekniikoista ja menetelmistä ovat hyvin samankaltaisia kuin APT8:na tunnetun uhkatoimijan metodologia.
Ransom Notes kaikkialla!
Teknisellä tasolla White Rabbit ei tee mitään uskomattoman innovatiivista. Kiristysohjelma salaa kohdejärjestelmän tiedostot välttäen samalla kansioita ja tiedostoja, jotka voivat vaarantaa järjestelmän yleisen vakauden. Hakemistot, jotka sisältävät järjestelmäajureita, Windows-käyttöjärjestelmän tiedostoja ja asennettuja ohjelmistoja Ohjelmatiedostoissa, säilytetään ennallaan. Kaikki muut käyttäjätiedostot salataan, ja salattuihin tiedostoihin lisätään .scrypt-tunniste. Kiristysohjelma pudottaa myös lunnaita koskevaan muistiinpanonsa jokaisen salatun tiedoston viereen ja tuottaa lunnaita nimeltä filename.ext.scrypt.txt.