Perisian Tebusan Arnab Putih
Pada bulan Disember, tepat sebelum penghujung tahun 2021, sebuah keluarga perisian tebusan baharu muncul dalam landskap jenayah siber dalam serangan terhadap bank AS. Ditemui oleh penyelidik di Trend Micro dan dilekatkan sebagai perisian tebusan White Rabbit, ancaman itu memaparkan pelbagai ciri melaksanakan sepenuhnya perisian hasad moden jenis ini. Walaupun rutin penyulitan White Rabbit agak tidak rumit, ia menunjukkan peningkatan tumpuan untuk menutup tindakan mengganggunya. Perlu diingatkan bahawa butiran tertentu menunjukkan hubungan antara Arnab Putih dan kumpulan APT yang dikenali sebagai FIN8.
Isi kandungan
Butiran Arnab Putih
Selepas menganalisis serangan itu, pakar infosec melihat tanda-tanda bahawa Arnab Putih telah digunakan ke sistem yang disasarkan melalui penggunaan Cobalt Strike, alat ujian penembusan yang sah yang mendapati dirinya sebahagian daripada serangan berniat jahat agak kerap disebabkan ciri-cirinya yang luas. Perduaan muatan White Rabbit sebenar ialah fail yang agak kecil, sekitar 100KB, yang tidak menunjukkan sebarang rentetan atau aktiviti yang ketara.
Untuk membuka kunci keupayaan yang merosakkannya, White Rabbit memerlukan kata laluan baris arahan khusus. Selepas itu, ancaman boleh menyahsulit konfigurasi dalamannya dan mula melaksanakan rutin penyulitannya. Ini bukan kali pertama teknik khusus ini digunakan oleh ancaman ransomware, sebelum ini keluarga ransomware Egregor menggunakannya untuk menyembunyikan tindakan jahatnya.
Proses Penyulitan dan Permintaan
White Rabbit menyasarkan pelbagai jenis fail dan mencipta fail teks dengan mesej nota tebusan yang sama untuk setiap fail yang dikunci. Nama fail teks ialah gabungan nama fail berkaitan yang dilampirkan dengan '.scrypt.txt.' Untuk memastikan bahawa proses penyulitannya tidak dihalang, ancaman itu mampu menamatkan proses dan perkhidmatan tertentu, seperti yang dimiliki oleh produk anti perisian hasad. White Rabbit juga cuba mengelak daripada menyebabkan sebarang ranap sistem atau ralat kritikal dengan melangkau fail dalam laluan dan direktori penting. Beberapa contoh termasuk \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ dan banyak lagi.
Nota tebusan menunjukkan bahawa Arnab Putih menjalankan skim pemerasan berganda. Sebelum fail dikunci, penggodam mendakwa telah berjaya mencuri data peribadi yang penting. Mangsa diberi masa 4 hari untuk menjalin hubungan dengan penjenayah siber atau maklumat yang dicuri akan didedahkan kepada orang ramai atau ditawarkan untuk dijual kepada organisasi yang bersaing. Kunci penyahsulitan yang diperlukan juga akan dipadamkan, menjadikan pemulihan semua fail terkunci mustahil.
Sambungan ke FIN8
Kumpulan FIN8 APT terlibat terutamanya dalam pengintipan siber, penyusupan dan operasi peninjauan. Terdapat butiran tertentu yang menghubungkan kumpulan itu dengan ancaman perisian tebusan White Rabbit. Seperti yang dinyatakan oleh penyelidik dari Lodestone, URL berniat jahat yang dilihat sebagai sebahagian daripada serangan Arnab Putih sebelum ini dikaitkan dengan kumpulan FIN8. Di samping itu, penemuan mereka menunjukkan bahawa White Rabbit menggunakan versi Badhatch, pintu belakang yang dianggap sebagai sebahagian daripada senjata FIN8 alat berniat jahat. Jika sambungan antara White Rabbit dan FIN8 adalah tidak sengaja atau kumpulan itu sebenarnya mengembangkan aktivitinya dan memasuki adegan perisian tebusan masih belum dapat dilihat.
