White Rabbit Ransomware
Még decemberben, közvetlenül 2021 vége előtt, egy új zsarolóvírus-család jelent meg a kiberbűnözés területén egy amerikai bank elleni támadás során. A Trend Micro kutatói által felfedezett és White Rabbit ransomware néven emlegetett fenyegetés az ilyen típusú modern rosszindulatú programok több, teljes körűen megvalósított jellemzőjét mutatja. Míg a White Rabbit titkosítási rutinja meglehetősen egyszerű, nagyobb hangsúlyt fektet a tolakodó műveletek elfedésére. Meg kell jegyezni, hogy bizonyos részletek összefüggést mutatnak a White Rabbit és a FIN8 néven ismert APT csoport között.
Tartalomjegyzék
Fehér nyúl Részletek
A támadás elemzése után az infosec szakértői arra utaló jelekre figyeltek fel, hogy a White Rabbit a Cobalt Strike segítségével került a megcélzott rendszerekbe, egy legitim behatolás-tesztelő eszköz, amely kiterjedt szolgáltatásai miatt igen gyakran részesévé válik rosszindulatú támadásoknak. A tényleges White Rabbit hasznos bináris fájl egy meglehetősen kicsi, körülbelül 100 KB-os fájl, amely nem mutat észrevehető karakterláncokat vagy tevékenységet.
A pusztító képességeinek feloldásához a White Rabbit speciális parancssori jelszót igényel. Ezt követően a fenyegetés visszafejtheti belső konfigurációját, és megkezdheti a titkosítási rutin végrehajtását. Nem ez az első alkalom, hogy ezt a technikát ransomware fenyegetés használja, korábban az Egregor ransomware család használta fel rosszindulatú tevékenységei elrejtésére.
Titkosítási folyamat és igények
A White Rabbit a fájltípusok széles skáláját célozza meg, és minden zárolt fájlhoz azonos váltságdíj-üzenetet tartalmazó szöveges fájlt hoz létre. A szöveges fájlok nevei a kapcsolódó fájl nevének kombinációja, amelyhez a ".scrypt.txt" karakterlánc tartozik. Annak biztosítása érdekében, hogy titkosítási folyamata ne legyen akadályozva, a fenyegetés képes bizonyos folyamatokat és szolgáltatásokat leállítani, például a kártevőirtó termékekhez tartozókat. A White Rabbit megpróbálja elkerülni a rendszer összeomlását vagy kritikus hibákat azáltal, hogy átugorja a fontos elérési utakban és könyvtárakban lévő fájlokat. Néhány példa: \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ és még sok más.
A váltságdíj azt mutatja, hogy a White Rabbit kettős zsarolási rendszert folytat. Mielőtt a fájlokat zárolták volna, a hackerek azt állítják, hogy sikeresen ellopták a kulcsfontosságú személyes adatokat. Az áldozatok 4 napot kapnak, hogy felvegyék a kapcsolatot a kiberbűnözőkkel, vagy az ellopott információkat nyilvánosságra hozzák, vagy eladásra kínálják a versengő szervezeteknek. A szükséges visszafejtési kulcs is törlődik, ami lehetetlenné teszi az összes zárolt fájl visszaállítását.
Csatlakozás a FIN8-hoz
A FIN8 APT csoport elsősorban kiberkémkedésben, beszivárgásban és felderítő műveletekben vesz részt. Vannak bizonyos részletek, amelyek összekapcsolják a csoportot a White Rabbit ransomware fenyegetéssel. Amint azt a lodestone-i kutatók elmondták, a White Rabbit támadás részeként látott rosszindulatú URL korábban a FIN8 csoporthoz kapcsolódott. Ezen túlmenően az eredmények azt mutatják, hogy a White Rabbit a Badhatch egy verzióját használja, amely egy hátsó ajtó, amelyet a FIN8 rosszindulatú eszközök arzenáljának tartanak. Ha a White Rabbit és a FIN8 közötti kapcsolat véletlenszerű, vagy a csoport valóban kiterjeszti tevékenységét, és belép a ransomware színhelyére, az még várat magára.
