न्यू व्हाइट रैबिट रैनसमवेयर स्ट्रेन का एग्रेगोर से संभावित संबंध है
सुरक्षा शोधकर्ताओं ने हाल ही में रैंसमवेयर के एक नए तनाव पर एक रिपोर्ट प्रकाशित की। नया रैंसमवेयर अपने ही परिवार का सदस्य है और फिरौती नोट में दिखाई देने वाले प्यारे ASCII बनी के बाद इसे व्हाइट रैबिट करार दिया गया है। माना जाता है कि रैंसमवेयर उन्नत लगातार खतरे वाले अभिनेता से संबंधित है जिसे APT8 के नाम से जाना जाता है।
APT8 खतरे के परिदृश्य पर आर्थिक रूप से प्रेरित APTs में से एक है, जो 2018 से सक्रिय है और इसने रेस्तरां, आतिथ्य और खुदरा उद्योगों में व्यवसायों के खिलाफ रैंसमवेयर हमले शुरू किए हैं।
विषयसूची
सफेद खरगोश और एग्रेगोर के बीच समानताएं
सुरक्षा फर्म ट्रेंड माइक्रो ने नए व्हाइट रैबिट रैंसमवेयर पर एक रिपोर्ट प्रकाशित की और नए स्ट्रेन और पहले से ज्ञात एग्रेगर रैंसमवेयर के बीच कुछ समानताओं को रेखांकित किया। रैंसमवेयर के दो प्रकारों में कुछ बहुत ही समान तरीके और दृष्टिकोण होते हैं, जब वे अपने ट्रैक को छिपाने के तरीके की बात करते हैं और पता लगाने से बचने का प्रयास करते हैं, भले ही वे दो अलग-अलग परिवारों के रूप में वर्गीकृत होने के लिए पर्याप्त भिन्न हों।
व्हाइट रैबिट की पहली बार कुछ महीने पहले क्रिसमस 2021 से पहले और अधिक विस्तार से जांच की गई थी। स्वतंत्र शोधकर्ता माइकल गिलेस्पी ने एक ट्विटर पोस्ट प्रकाशित किया जिसमें व्हाइट रैबिट के पूर्ण फिरौती नोट के स्क्रीनशॉट और कुछ नमूना एन्क्रिप्टेड फाइलें थीं, जो एन्क्रिप्टेड के लिए उपयोग किए गए एक्सटेंशन को प्रदर्शित करती थीं। फ़ाइलें।
सफेद खरगोश डबल जबरन वसूली के लिए जाता है
व्हाइट रैबिट रैंसमवेयर डबल एक्सटॉर्शन के लिए जाता है - एक ऐसा तरीका जो रैंसमवेयर के हमलों की बात आते ही लगभग आदर्श बन गया है। फिरौती के नोट में धमकी दी गई है कि अगर फिरौती का भुगतान नहीं किया गया तो हैकर्स संवेदनशील बहिष्कृत जानकारी प्रकाशित कर देंगे। पिछले एक साल में, डबल जबरन वसूली इतनी व्यापक हो गई है कि यदि कोई नया खतरा अभिनेता इसके लिए जाने में विफल रहता है, तो यह लगभग एक जिज्ञासु अपवाद है।
व्हाइट रैबिट के पेलोड के विश्लेषण से पता चला है कि रैंसमवेयर का प्रारंभिक पेलोड एन्क्रिप्ट किया गया है और अंतिम पेलोड के आंतरिक कॉन्फ़िगरेशन को डिक्रिप्ट करने के लिए पासवर्ड स्ट्रिंग का उपयोग करने की आवश्यकता है। शोधकर्ताओं द्वारा विश्लेषण किए गए नमूने में, इस आंतरिक डिक्रिप्शन प्रक्रिया के लिए उपयोग की जाने वाली पासवर्ड स्ट्रिंग "किसमे" थी। एग्रेगर रैंसमवेयर ने अपनी दुर्भावनापूर्ण गतिविधि को छिपाने के लिए बहुत ही समान ओफ़्फ़ुसेशन तकनीकों का उपयोग किया, जिसके कारण दो रैंसमवेयर परिवारों के बीच एक संभावित लिंक स्थापित हुआ।
इसके अतिरिक्त, व्हाइट रैबिट द्वारा उपयोग की जाने वाली कुछ तकनीकें और विधियाँ APT8 के नाम से जाने जाने वाले थ्रेट एक्टर की कार्यप्रणाली से बहुत मिलती-जुलती हैं।
हर जगह फिरौती के नोट!
तकनीकी स्तर पर, व्हाइट रैबिट अविश्वसनीय रूप से अभिनव कुछ भी नहीं करता है। रैंसमवेयर किसी भी फ़ोल्डर और फाइलों से बचते हुए लक्ष्य प्रणाली पर फाइलों को एन्क्रिप्ट करता है जो समग्र सिस्टम स्थिरता से समझौता कर सकते हैं। प्रोग्राम फाइल्स के तहत सिस्टम ड्राइवर, विंडोज ओएस फाइलें और इंस्टॉल किए गए सॉफ़्टवेयर वाली निर्देशिकाओं को बरकरार रखा जाता है। अन्य सभी उपयोगकर्ता फ़ाइलें एन्क्रिप्ट की जाती हैं, और .scrypt एक्सटेंशन एन्क्रिप्टेड फ़ाइलों में जोड़ा जाता है। रैंसमवेयर अपने फिरौती नोट को प्रत्येक एन्क्रिप्टेड फ़ाइल के साथ छोड़ देता है, जिससे filename.ext.scrypt.txt नाम के फिरौती नोट बनते हैं।