White Rabbit Ransomware
עוד בדצמבר, ממש לפני סוף 2021, צצה משפחת תוכנות כופר חדשה בנוף פשעי הסייבר במתקפה נגד בנק אמריקאי. התגלה על ידי החוקרים ב-Trend Micro והוגדר כתוכנת כופר של ארנב לבן, האיום מציג מספר מאפיינים של יישום מלא של תוכנות זדוניות מודרניות מסוג זה. בעוד ששגרת ההצפנה של White Rabbit היא די לא מסובכת, היא מראה התמקדות מוגברת במיסוך הפעולות החודרניות שלה. יש לציין שפרטים מסוימים מראים קשר בין ארנב לבן לקבוצת APT הידועה בשם FIN8.
תוכן העניינים
פרטי ארנב לבן
לאחר ניתוח המתקפה, מומחי ה-infosec הבחינו בסימנים לכך ש-White Rabbit נפרס למערכות הממוקדות באמצעות שימוש ב-Cobalt Strike, כלי לגיטימי לבדיקת חדירה שמוצא את עצמו חלק מהתקפות זדוניות לעיתים קרובות בשל תכונותיו הנרחבות. המטען הבינארי של ארנב לבן בפועל הוא קובץ קטן למדי, בסביבות 100KB, שאינו מראה מחרוזות או פעילות ניכרות.
כדי לפתוח את היכולות ההרסניות שלו, White Rabbit דורש סיסמת שורת פקודה ספציפית. לאחר מכן, האיום יכול לפענח את התצורה הפנימית שלו ולהתחיל לבצע את שגרת ההצפנה שלו. זו אינה הפעם הראשונה בטכניקה הספציפית הזו נעשה שימוש על ידי איום של תוכנת כופר, בעבר משפחת תוכנת הכופר של Egregor השתמשה בה כדי להסתיר את הפעולות הזדוניות שלה.
תהליך הצפנה ודרישות
White Rabbit מכוון למגוון רחב של סוגי קבצים ויוצר קובץ טקסט עם הודעת פתק כופר זהה עבור כל קובץ נעול. שמות קובצי הטקסט הם שילוב של שם הקובץ הקשור בצירוף '.scrypt.txt'. כדי להבטיח שתהליך ההצפנה שלו לא ייעצר, האיום מסוגל להפסיק תהליכים ושירותים ספציפיים, כגון אלה השייכים למוצרים נגד תוכנות זדוניות. White Rabbit גם מנסה להימנע מגרימת קריסות מערכת או שגיאות קריטיות על ידי דילוג על הקבצים בנתיבים ובספריות חשובות. כמה דוגמאות כוללות \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ ועוד.
פתק הכופר מראה כי ארנב לבן מנהל תוכנית סחיטה כפולה. לפני שהקבצים ננעלו, ההאקרים טוענים שגנבו בהצלחה נתונים פרטיים חיוניים. לקורבנות ניתנים 4 ימים ליצור קשר עם פושעי הסייבר או שהמידע הגנוב ישוחרר לציבור או יוצע למכירה לארגונים מתחרים. מפתח הפענוח הדרוש גם יימחק, מה שהופך את השחזור של כל הקבצים הנעולים לבלתי אפשרי.
חיבור ל-FIN8
קבוצת FIN8 APT מעורבת בעיקר בפעולות ריגול סייבר, הסתננות וסיור. ישנם פרטים מסוימים המקשרים את הקבוצה לאיום תוכנת הכופר הלבן. כפי שציינו החוקרים מלודסטון, כתובת האתר הזדונית שנראתה כחלק מהתקפת הארנב הלבן הייתה קשורה בעבר לקבוצת FIN8. בנוסף, הממצאים שלהם מראים ש-White Rabbit משתמש בגרסה של Badhatch, דלת אחורית הנחשבת לחלק מארסנל הכלים הזדוניים של FIN8. אם הקשרים בין White Rabbit ל-FIN8 מקריים או שהקבוצה בעצם מרחיבה את פעילותה ונכנסת לזירת תוכנות הכופר נותר לראות.
