White Rabbit Ransomware
Joulukuussa, juuri ennen vuoden 2021 loppua, kyberrikollisuuden maisemaan nousi uusi kiristysohjelmaperhe hyökkäyksessä yhdysvaltalaista pankkia vastaan. Trend Micron tutkijoiden löytämä ja White Rabbit ransomwareksi leimattu uhka sisältää useita tämäntyyppisten nykyaikaisten haittaohjelmien täysin toteutettuja ominaisuuksia. Vaikka White Rabbitin salausrutiini on melko mutkaton, se osoittaa enemmän keskittymistä tunkeilevien toimiensa peittämiseen. On huomattava, että tietyt yksityiskohdat osoittavat yhteyden White Rabbitin ja APT-ryhmän välillä, joka tunnetaan nimellä FIN8.
Sisällysluettelo
Valkoisen kanin tiedot
Hyökkäyksen analysoinnin jälkeen infosec-asiantuntijat havaitsivat merkkejä siitä, että White Rabbit on otettu käyttöön kohteena oleviin järjestelmiin käyttämällä Cobalt Strikea, laillista tunkeutumistestaustyökalua, joka joutuu laajan ominaisuuksiensa vuoksi usein osaksi haitallisia hyökkäyksiä. Varsinainen White Rabbitin hyötykuorman binaari on melko pieni, noin 100 kt:n tiedosto, jossa ei näy mitään havaittavia merkkijonoja tai toimintaa.
Vapauttaakseen tuhoisat ominaisuudet White Rabbit vaatii erityisen komentorivisalasanan. Myöhemmin uhka voi purkaa sisäisen kokoonpanonsa salauksen ja alkaa suorittaa salausrutiiniaan. Tämä ei ole ensimmäinen kerta, kun lunnasohjelmauhka on käyttänyt tätä nimenomaista tekniikkaa, aiemmin Egregor ransomware -perhe käytti sitä piilottaakseen haitalliset toimintansa.
Salausprosessi ja vaatimukset
White Rabbit kohdistaa monenlaisiin tiedostotyyppeihin ja luo tekstitiedoston, jossa on sama lunnausviesti jokaiselle lukitulle tiedostolle. Tekstitiedostojen nimet ovat yhdistelmä vastaavan tiedoston nimestä, johon on liitetty .scrypt.txt. Varmistaakseen, että sen salausprosessia ei estetä, uhka pystyy lopettamaan tiettyjä prosesseja ja palveluja, kuten haittaohjelmien torjuntatuotteita. White Rabbit yrittää myös välttää järjestelmän kaatumista tai kriittisiä virheitä ohittamalla tiedostot tärkeissä poluissa ja hakemistoissa. Joitakin esimerkkejä ovat \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ ja paljon muuta.
Lunnaat osoittavat, että White Rabbit harjoittaa kaksinkertaista kiristysjärjestelmää. Ennen kuin tiedostot on lukittu, hakkerit väittävät onnistuneesti varastaneensa tärkeitä yksityisiä tietoja. Uhreille annetaan 4 päivää aikaa ottaa yhteyttä kyberrikollisiin tai varastetut tiedot julkistetaan tai tarjotaan myytäväksi kilpaileville organisaatioille. Myös tarvittava salauksenpurkuavain poistetaan, jolloin kaikkien lukittujen tiedostojen palauttaminen on mahdotonta.
Yhteys FIN8:aan
FIN8 APT -ryhmä osallistuu ensisijaisesti kybervakoilu-, soluttautumis- ja tiedusteluoperaatioihin. On tiettyjä yksityiskohtia, jotka yhdistävät ryhmän White Rabbit ransomware -uhan. Kuten Lodestonen tutkijat totesivat, White Rabbit -hyökkäyksen osana nähty haitallinen URL on aiemmin liittynyt FIN8-ryhmään. Lisäksi heidän havainnot osoittavat, että White Rabbit käyttää versiota Badhatchista, takaovesta, jonka katsotaan kuuluvan FIN8:n haitallisten työkalujen arsenaaliin. Nähtäväksi jää, ovatko White Rabbitin ja FIN8:n väliset yhteydet satunnaisia tai ryhmä todella laajentaa toimintaansa ja astuu ransomware-skenelle.
