White Rabbit Ransomware

दिसंबर में वापस, 2021 के अंत से ठीक पहले, एक अमेरिकी बैंक के खिलाफ हमले में साइबर अपराध परिदृश्य पर एक नया रैंसमवेयर परिवार उभरा। ट्रेंड माइक्रो के शोधकर्ताओं द्वारा खोजा गया और व्हाइट रैबिट रैंसमवेयर के रूप में निपटा गया, यह खतरा इस प्रकार के आधुनिक मैलवेयर की कई पूर्ण-कार्यान्वयन विशेषताओं को प्रदर्शित करता है। जबकि व्हाइट रैबिट का एन्क्रिप्शन रूटीन काफी सरल है, यह अपने दखल देने वाले कार्यों को छिपाने पर अधिक ध्यान केंद्रित करता है। यह ध्यान दिया जाना चाहिए कि कुछ विवरण सफेद खरगोश और एपीटी समूह के बीच एक संबंध दिखाते हैं जिसे एफआईएन 8 कहा जाता है।

सफेद खरगोश विवरण

हमले का विश्लेषण करने के बाद, इन्फोसेक विशेषज्ञों ने संकेत देखा कि कोबाल्ट स्ट्राइक के उपयोग के माध्यम से व्हाइट रैबिट को लक्षित सिस्टम में तैनात किया गया था, जो एक वैध पैठ-परीक्षण उपकरण है जो अपनी व्यापक विशेषताओं के कारण अक्सर दुर्भावनापूर्ण हमलों का एक हिस्सा पाता है। वास्तविक व्हाइट रैबिट पेलोड बाइनरी एक छोटी फ़ाइल है, लगभग 100 केबी, जो कोई ध्यान देने योग्य तार या गतिविधि नहीं दिखाती है।

अपनी विनाशकारी क्षमताओं को अनलॉक करने के लिए, व्हाइट रैबिट को एक विशिष्ट कमांड-लाइन पासवर्ड की आवश्यकता होती है। बाद में, खतरा इसके आंतरिक विन्यास को डिक्रिप्ट कर सकता है और अपने एन्क्रिप्शन रूटीन को क्रियान्वित करना शुरू कर सकता है। यह पहली बार नहीं है जब इस विशेष तकनीक का इस्तेमाल रैंसमवेयर के खतरे से किया गया है, पहले एग्रेगर रैंसमवेयर परिवार ने अपने दुर्भावनापूर्ण कार्यों को छिपाने के लिए इसका इस्तेमाल किया था।

एन्क्रिप्शन प्रक्रिया और मांग

व्हाइट रैबिट फ़ाइल प्रकारों की एक विस्तृत श्रृंखला को लक्षित करता है और प्रत्येक लॉक की गई फ़ाइल के लिए एक समान फिरौती नोट संदेश के साथ एक टेक्स्ट फ़ाइल बनाता है। टेक्स्ट फ़ाइलों के नाम '.scrypt.txt' के साथ संलग्न संबंधित फ़ाइल के नाम का एक संयोजन हैं। यह सुनिश्चित करने के लिए कि इसकी एन्क्रिप्शन प्रक्रिया बाधित न हो, खतरा विशिष्ट प्रक्रियाओं और सेवाओं को समाप्त करने में सक्षम है, जैसे कि एंटी-मैलवेयर उत्पादों से संबंधित। व्हाइट रैबिट महत्वपूर्ण पथों और निर्देशिकाओं में फ़ाइलों को छोड़ कर किसी भी सिस्टम क्रैश या महत्वपूर्ण त्रुटियों से बचने की कोशिश करता है। कुछ उदाहरणों में शामिल हैं \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ , और बहुत कुछ।

फिरौती के नोट से पता चलता है कि व्हाइट रैबिट डबल जबरन वसूली की योजना चला रहा है। फाइलों को लॉक करने से पहले, हैकर्स ने महत्वपूर्ण निजी डेटा को सफलतापूर्वक चुराने का दावा किया है। पीड़ितों को साइबर अपराधियों से संपर्क स्थापित करने के लिए 4 दिन का समय दिया जाता है या चोरी की गई जानकारी को जनता के लिए जारी किया जाएगा या प्रतिस्पर्धी संगठनों को बिक्री के लिए पेश किया जाएगा। आवश्यक डिक्रिप्शन कुंजी भी हटा दी जाएगी, जिससे सभी लॉक की गई फ़ाइलों की बहाली असंभव हो जाएगी।

FIN8 से कनेक्शन

FIN8 APT समूह मुख्य रूप से साइबर जासूसी, घुसपैठ और टोही संचालन में शामिल है। कुछ विवरण हैं जो समूह को व्हाइट रैबिट रैंसमवेयर खतरे से जोड़ते हैं। जैसा कि लॉडस्टोन के शोधकर्ताओं ने कहा है, व्हाइट रैबिट हमले के हिस्से के रूप में देखा जाने वाला दुर्भावनापूर्ण URL पहले FIN8 समूह से संबंधित रहा है। इसके अलावा, उनके निष्कर्ष बताते हैं कि व्हाइट रैबिट Badhatch के एक संस्करण का उपयोग कर रहा है, एक पिछले दरवाजे को FIN8 के दुर्भावनापूर्ण उपकरणों के शस्त्रागार का हिस्सा माना जाता है। यदि व्हाइट रैबिट और FIN8 के बीच संबंध आकस्मिक हैं या समूह वास्तव में अपनी गतिविधियों का विस्तार कर रहा है और रैंसमवेयर दृश्य में प्रवेश करना बाकी है।