White Rabbit Ransomware
Dar gruodį, prieš pat 2021 m. pabaigą, kibernetinių nusikaltimų aplinkoje atsirado nauja išpirkos reikalaujančių programų šeima, atakuojant JAV banką. „Trend Micro“ tyrėjų aptikta ir pavadinta „White Rabbit“ išpirkos programine įranga, grėsmė rodo daugybę visiškai įdiegtų šiuolaikinės tokio tipo kenkėjiškų programų savybių. Nors „White Rabbit“ šifravimo rutina yra gana nesudėtinga, ji rodo didesnį dėmesį į įkyrių veiksmų maskavimą. Reikėtų pažymėti, kad tam tikros detalės rodo ryšį tarp White Rabbit ir APT grupės, žinomos kaip FIN8.
Turinys
Baltojo triušio detalės
Išanalizavę ataką, infosec ekspertai pastebėjo požymius, kad White Rabbit buvo dislokuotas tikslinėse sistemose naudojant Cobalt Strike – teisėtą įsiskverbimo testavimo įrankį, kuris dėl savo plačių savybių gana dažnai patenka į kenkėjiškų atakų dalį. Tikrasis „White Rabbit“ naudingosios apkrovos dvejetainis failas yra gana mažas, maždaug 100 KB, failas, kuriame nerodoma jokių pastebimų eilučių ar veiklos.
Norėdami atrakinti savo žalingąsias galimybes, White Rabbit reikalauja specialaus komandų eilutės slaptažodžio. Vėliau grėsmė gali iššifruoti savo vidinę konfigūraciją ir pradėti vykdyti šifravimo tvarką. Tai ne pirmas kartas, kai šią techniką naudoja išpirkos reikalaujančios programos grėsmė, anksčiau Egregor ransomware šeima ją naudojo, kad paslėptų savo kenkėjiškus veiksmus.
Šifravimo procesas ir reikalavimai
„White Rabbit“ taiko įvairius failų tipus ir kiekvienam užrakintam failui sukuria tekstinį failą su identišku išpirkos pranešimu. Tekstinių failų pavadinimai yra susijusio failo pavadinimo, pridėto su „.scrypt.txt“, derinys. Siekiant užtikrinti, kad šifravimo procesas nebūtų trukdomas, grėsmė gali nutraukti konkrečius procesus ir paslaugas, pavyzdžiui, priklausančius antikenkėjiškų programų produktams. „White Rabbit“ taip pat stengiasi išvengti sistemos gedimų ar kritinių klaidų, praleisdama failus svarbiuose keliuose ir kataloguose. Kai kurie pavyzdžiai: \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ ir kt.
Išpirkos raštelis rodo, kad White Rabbit vykdo dvigubo turto prievartavimo schemą. Kol failai nebuvo užrakinti, įsilaužėliai teigia sėkmingai pavogę svarbius privačius duomenis. Aukoms suteikiamos 4 dienos susisiekti su kibernetiniais nusikaltėliais arba pavogta informacija bus paskelbta viešai arba pasiūlyta parduoti konkuruojančioms organizacijoms. Taip pat bus ištrintas reikalingas iššifravimo raktas, todėl nebus įmanoma atkurti visų užrakintų failų.
Prisijungimas prie FIN8
FIN8 APT grupė visų pirma dalyvauja kibernetinio šnipinėjimo, infiltracijos ir žvalgybos operacijose. Yra tam tikrų detalių, kurios susieja grupę su „White Rabbit“ išpirkos programinės įrangos grėsme. Kaip teigė Lodestone tyrėjai, kenkėjiškas URL, kuris buvo laikomas White Rabbit atakos dalimi, anksčiau buvo susijęs su grupe FIN8. Be to, jų išvados rodo, kad „White Rabbit“ naudoja „Badhatch“ versiją – užpakalines duris, kurios laikomos FIN8 kenkėjiškų įrankių arsenalo dalimi. Ar ryšiai tarp „White Rabbit“ ir „FIN8“ yra atsitiktiniai arba grupė iš tikrųjų plečia savo veiklą ir patenka į „ransomware“ sceną, dar reikia pamatyti.
