새로운 White Rabbit Ransomware 변종은 Egregor와 관련이 있을 수 있습니다.

보안 연구원들은 새로운 랜섬웨어 변종에 대한 최근 보고서를 발표했습니다. 새로운 랜섬웨어는 자체 패밀리의 구성원이며 몸값 메모에 나타나는 귀여운 ASCII 토끼의 이름을 따서 White Rabbit이라고 불립니다. 랜섬웨어는 APT8로 알려진 지능형 지속적 위협 행위자와 관련이 있는 것으로 여겨집니다.

APT8은 위협 환경에서 재정적으로 동기를 부여받은 APT 중 하나로, 2018년부터 활동해 왔으며 레스토랑, 접객 및 소매 산업의 비즈니스를 대상으로 랜섬웨어 공격을 시작했습니다.

흰 토끼와 Egregor의 유사점

보안 회사인 Trend Micro는 새로운 White Rabbit 랜섬웨어에 대한 보고서를 발표하고 새로운 변종과 이전에 알려진 Egregor 랜섬웨어 간의 몇 가지 유사점에 대해 설명했습니다. 두 종류의 랜섬웨어는 서로 다른 두 패밀리로 분류될 만큼 충분히 다르지만 자신의 흔적을 숨기고 탐지를 피하려는 방식과 관련하여 몇 가지 매우 유사한 방법과 접근 방식을 가지고 있습니다.

White Rabbit은 몇 달 전인 2021년 크리스마스 직전에 처음으로 더 자세히 조사되었습니다. 독립 연구원 Michael Gillespie는 White Rabbit의 전체 몸값과 샘플 암호화 파일의 스크린샷이 포함된 Twitter 게시물을 게시하여 암호화에 사용된 확장자를 보여줍니다. 파일.

이중 갈취를 하러 가는 흰토끼

White Rabbit 랜섬웨어는 이중 갈취 방식으로 진행됩니다. 이는 랜섬웨어 공격과 관련하여 거의 표준이 된 방법입니다. 몸값이 지불되지 않으면 해커가 민감한 유출 정보를 게시할 것이라고 위협하는 몸값 메모. 지난 1년 동안 이중 갈취가 너무 널리 퍼져 새로운 위협 행위자가 이를 시도하지 않으면 거의 이상한 예외입니다.

White Rabbit의 페이로드를 분석한 결과 랜섬웨어의 초기 페이로드가 암호화되어 있으며 최종 페이로드의 내부 구성을 해독하기 위해 비밀번호 문자열을 사용해야 하는 것으로 나타났습니다. 연구원들이 분석한 샘플에서 이 내부 복호화 과정에 사용된 비밀번호 문자열은 "KissMe"였다. Egregor 랜섬웨어는 매우 유사한 난독화 기술을 사용하여 자신의 악의적인 활동을 숨겼고, 이로 인해 두 랜섬웨어 제품군 간의 연결 가능성이 설정되었습니다.

또한 White Rabbit이 사용하는 기술 및 방법 중 일부는 APT8로 알려진 위협 행위자의 방법론과 매우 유사합니다.

랜섬 노트 어디에나 있습니다!

기술 수준에서 White Rabbit은 믿을 수 없을 정도로 혁신적인 작업을 수행하지 않습니다. 랜섬웨어는 전체 시스템 안정성을 손상시킬 수 있는 폴더와 파일을 피하면서 대상 시스템의 파일을 암호화합니다. 시스템 드라이버, Windows OS 파일 및 프로그램 파일 아래에 설치된 소프트웨어가 포함된 디렉토리는 그대로 유지됩니다. 다른 모든 사용자 파일은 암호화되고 .scrypt 확장자는 암호화된 파일에 추가됩니다. 또한 랜섬웨어는 암호화된 모든 파일과 함께 랜섬 노트를 삭제하여 filename.ext.scrypt.txt라는 랜섬 노트를 생성합니다.