White Rabbit Ransomware
Još u prosincu, neposredno prije kraja 2021., nova obitelj ransomwarea pojavila se na području kibernetičkog kriminala u napadu na američku banku. Otkrili su je istraživači iz Trend Microa i označili je kao ransomware White Rabbit, prijetnja prikazuje višestruke potpuno implementirane karakteristike modernog zlonamjernog softvera ove vrste. Dok je rutina šifriranja White Rabbit prilično jednostavna, pokazuje povećan fokus na maskiranje njegovih nametljivih radnji. Treba napomenuti da određeni detalji pokazuju vezu između Bijelog zeca i APT grupe poznate kao FIN8.
Sadržaj
Detalji o bijelom zecu
Nakon analize napada, stručnjaci za infosec uočili su znakove da je White Rabbit raspoređen na ciljane sustave korištenjem Cobalt Strikea, legitimnog alata za testiranje penetracije koji se zbog svojih opsežnih značajki često nađe dijelom zlonamjernih napada. Stvarni binarni teret White Rabbit je prilično mala datoteka, oko 100 KB, koja ne pokazuje nikakve primjetne nizove ili aktivnost.
Da bi otključao svoje destruktivne sposobnosti, White Rabbit zahtijeva posebnu lozinku za naredbeni redak. Nakon toga prijetnja može dešifrirati svoju internu konfiguraciju i početi izvršavati svoju rutinu šifriranja. Ovo nije prvi put da je ova tehnika korištena od strane ransomware prijetnje, prije ju je obitelj ransomwarea Egregor koristila kako bi sakrila svoje zlonamjerne radnje.
Proces šifriranja i zahtjevi
White Rabbit cilja na širok raspon vrsta datoteka i stvara tekstualnu datoteku s identičnom porukom o otkupnini za svaku zaključanu datoteku. Nazivi tekstualnih datoteka kombinacija su naziva povezane datoteke s '.scrypt.txt'. Kako bi se osiguralo da njegov proces enkripcije nije spriječen, prijetnja može prekinuti određene procese i usluge, poput onih koje pripadaju anti-malware proizvodima. White Rabbit također nastoji izbjeći izazivanje pada sustava ili kritičnih pogrešaka preskačući datoteke na važnim stazama i direktorijima. Neki primjeri uključuju \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ i još mnogo toga.
Otkupnina pokazuje da Bijeli zec vodi shemu dvostruke iznude. Prije nego što su datoteke zaključane, hakeri tvrde da su uspješno ukrali ključne privatne podatke. Žrtvama se daje 4 dana da uspostave kontakt s kibernetičkim kriminalcima ili će ukradene informacije biti objavljene u javnosti ili ponuđene na prodaju konkurentskim organizacijama. Neophodni ključ za dešifriranje također će se izbrisati, što će onemogućiti vraćanje svih zaključanih datoteka.
Veza na FIN8
Grupa FIN8 APT prvenstveno je uključena u kibernetičku špijunažu, infiltraciju i izviđačke operacije. Postoje određeni detalji koji povezuju grupu s ransomware prijetnjom White Rabbit. Kako navode istraživači iz Lodestonea, zlonamjerni URL koji se vidi kao dio napada na White Rabbit je ranije bio povezan s grupom FIN8. Osim toga, njihova otkrića pokazuju da White Rabbit koristi verziju Badhatcha, backdoor koji se smatra dijelom FIN8-ovog arsenala zlonamjernih alata. Jesu li veze između White Rabbita i FIN8 slučajne ili grupa zapravo širi svoje aktivnosti i ulazi na scenu ransomwarea, ostaje za vidjeti.
