흰 토끼 랜섬웨어

2021년이 끝나기 직전인 12월에 새로운 랜섬웨어 제품군이 미국 은행에 대한 공격으로 사이버 범죄 환경에 등장했습니다. Trend Micro의 연구원들이 발견하고 White Rabbit 랜섬웨어로 분류된 이 위협은 이러한 유형의 최신 맬웨어의 여러 가지 완전히 구현된 특성을 보여줍니다. White Rabbit의 암호화 루틴은 상당히 복잡하지 않지만 침입 동작을 마스킹하는 데 중점을 둡니다. 특정 세부 사항은 White Rabbit과 FIN8로 알려진 APT 그룹 간의 연결을 보여줍니다.

흰 토끼 세부 사항

공격을 분석한 후 infosec 전문가들은 White Rabbit이 광범위한 기능으로 인해 악성 공격의 일부인 합법적인 침투 테스트 도구인 Cobalt Strike를 사용하여 표적 시스템에 배포되었다는 징후를 발견했습니다. 실제 White Rabbit 페이로드 바이너리는 눈에 띄는 문자열이나 활동을 표시하지 않는 약 100KB의 다소 작은 파일입니다.

파괴적인 기능을 잠금 해제하려면 White Rabbit은 특정 명령줄 암호가 필요합니다. 그 후 위협 요소는 내부 구성을 해독하고 암호화 루틴 실행을 시작할 수 있습니다. 이 특정 기술이 랜섬웨어 위협에 사용된 것은 이번이 처음이 아닙니다. 이전에는 Egregor 랜섬웨어 제품군이 악의적인 행동을 숨기기 위해 이 기술을 사용했습니다.

암호화 프로세스 및 요구 사항

White Rabbit은 다양한 파일 유형을 대상으로 하며 잠긴 각 파일에 대해 동일한 랜섬 노트 메시지가 포함된 텍스트 파일을 생성합니다. 텍스트 파일의 이름은 관련 파일 이름에 '.scrypt.txt'가 붙은 조합입니다. 암호화 프로세스가 방해받지 않도록 위협은 맬웨어 방지 제품에 속하는 것과 같은 특정 프로세스 및 서비스를 종료할 수 있습니다. White Rabbit은 또한 중요한 경로 및 디렉터리에 있는 파일을 건너뛰어 시스템 충돌이나 심각한 오류를 방지하려고 합니다. 몇 가지 예에는 \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ 등이 있습니다.

몸값 메모는 White Rabbit이 이중 갈취 계획을 실행하고 있음을 보여줍니다. 파일이 잠기기 전에 해커는 중요한 개인 데이터를 성공적으로 훔쳤다고 주장합니다. 피해자에게 사이버 범죄자와 접촉할 수 있는 4일이 주어집니다. 그렇지 않으면 도난당한 정보가 대중에게 공개되거나 경쟁 조직에 판매될 것입니다. 필요한 암호 해독 키도 삭제되어 잠긴 파일을 모두 복원할 수 없습니다.

FIN8에 연결

FIN8 APT 그룹은 주로 사이버 스파이 활동, 침투 및 정찰 활동에 관여합니다. 그룹을 White Rabbit 랜섬웨어 위협에 연결하는 특정 세부 정보가 있습니다. Lodestone의 연구원에 따르면 White Rabbit 공격의 일부로 간주되는 악성 URL은 이전에 FIN8 그룹과 관련이 있었습니다. 또한, 그들의 조사 결과에 따르면 White Rabbit은 FIN8의 악성 도구 무기고의 일부로 간주되는 백도어인 Badhatch 버전을 사용하고 있습니다. White Rabbit과 FIN8의 연결이 우발적이거나 그룹이 실제로 활동을 확장하고 랜섬웨어 현장에 진입하는지 여부는 두고 볼 일입니다.