White Rabbit Ransomware
Decembrī, tieši pirms 2021. gada beigām, uzbrukumā kādai ASV bankai kibernoziedzības vidē parādījās jauna izspiedējvīrusu ģimene. Trend Micro pētnieki atklājuši un nosaukti par White Rabbit izspiedējvīrusu, un šie draudi parāda vairākas šāda veida mūsdienu ļaunprogrammatūras pilnībā ieviestas īpašības. Lai gan White Rabbit šifrēšanas rutīna ir diezgan nesarežģīta, tā parāda pastiprinātu uzmanību uzmācīgo darbību maskēšanai. Jāatzīmē, ka dažas detaļas parāda saikni starp White Rabbit un APT grupu, kas pazīstama kā FIN8.
Satura rādītājs
Baltā truša detaļas
Analizējot uzbrukumu, infosec eksperti pamanīja pazīmes, ka White Rabbit tika izvietots mērķa sistēmās, izmantojot Cobalt Strike, likumīgu iespiešanās pārbaudes rīku, kas diezgan bieži tiek iekļauts ļaunprātīgos uzbrukumos tā plašo funkciju dēļ. Faktiskais White Rabbit derīgās slodzes binārais fails ir diezgan mazs fails, apmēram 100 KB, un tajā nav redzamas nekādas pamanāmas virknes vai aktivitātes.
Lai atbloķētu destruktīvās spējas, White Rabbit ir nepieciešama īpaša komandrindas parole. Pēc tam draudi var atšifrēt savu iekšējo konfigurāciju un sākt izpildīt šifrēšanas rutīnu. Šī nav pirmā reize, kad šo konkrēto paņēmienu izmanto izspiedējvīrusa draudi, iepriekš Egregor ransomware ģimene to izmantoja, lai slēptu savas ļaunprātīgās darbības.
Šifrēšanas process un prasības
White Rabbit izmanto plašu failu tipu klāstu un katram bloķētajam failam izveido teksta failu ar identisku izpirkuma piezīmes ziņojumu. Teksta failu nosaukumi ir saistītā faila nosaukuma kombinācija, kas pievienota ar ".scrypt.txt". Lai nodrošinātu, ka tā šifrēšanas process netiek traucēts, draudi spēj pārtraukt noteiktus procesus un pakalpojumus, piemēram, tos, kas pieder pret ļaunprātīgas programmatūras produktiem. White Rabbit arī cenšas izvairīties no sistēmas avārijām vai kritiskām kļūdām, izlaižot failus svarīgos ceļos un direktorijos. Daži piemēri ietver \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ un citus.
Izpirkuma naudas vēstule liecina, ka Baltais Trusis īsteno dubultās izspiešanas shēmu. Pirms failu bloķēšanas hakeri apgalvo, ka ir veiksmīgi nozaguši svarīgus privātos datus. Cietušajiem tiek dotas 4 dienas, lai nodibinātu kontaktu ar kibernoziedzniekiem, pretējā gadījumā nozagtā informācija tiks publiskota vai piedāvāta pārdošanai konkurējošām organizācijām. Tiks dzēsta arī nepieciešamā atšifrēšanas atslēga, padarot neiespējamu visu bloķēto failu atjaunošanu.
Savienojums ar FIN8
FIN8 APT grupa galvenokārt ir iesaistīta kiberspiegošanā, infiltrācijā un izlūkošanas operācijās. Ir noteiktas detaļas, kas saista grupu ar White Rabbit izpirkuma programmatūras draudiem. Kā norādījuši Lodestones pētnieki, ļaunprātīgais URL, kas tika uzskatīts par White Rabbit uzbrukuma daļu, iepriekš bija saistīts ar FIN8 grupu. Turklāt viņu atklājumi liecina, ka White Rabbit izmanto Badhatch versiju, kas tiek uzskatīta par daļu no FIN8 ļaunprātīgo rīku arsenāla. Ja sakari starp White Rabbit un FIN8 ir nejauši vai grupa patiešām paplašina savu darbību un nonāk ransomware skatuves, vēl ir jānoskaidro.
