White Rabbit Ransomware
Tilbake i desember, rett før slutten av 2021, dukket det opp en ny løsepengevarefamilie på nettkriminalitet i et angrep mot en amerikansk bank. Oppdaget av forskerne ved Trend Micro og omtalt som White Rabbit løsepengevare, viser trusselen flere fullt implementerte egenskaper for moderne skadelig programvare av denne typen. Mens White Rabbits krypteringsrutine er ganske ukomplisert, viser den et økt fokus på å maskere dens påtrengende handlinger. Det skal bemerkes at visse detaljer viser en forbindelse mellom White Rabbit og APT-gruppen kjent som FIN8.
Innholdsfortegnelse
Hvit kanindetaljer
Etter å ha analysert angrepet, la infosec-ekspertene merke til tegn på at White Rabbit ble distribuert til de målrettede systemene gjennom bruk av Cobalt Strike, et legitimt penetrasjonstestingsverktøy som ganske ofte finner seg selv som en del av ondsinnede angrep på grunn av dets omfattende funksjoner. Den faktiske White Rabbit nyttelasten binær er en ganske liten fil, rundt 100KB, som ikke viser noen merkbare strenger eller aktivitet.
For å låse opp de destruktive egenskapene, krever White Rabbit et spesifikt kommandolinjepassord. Etterpå kan trusselen dekryptere sin interne konfigurasjon og begynne å utføre krypteringsrutinen. Dette er ikke første gang denne spesielle teknikken har blitt brukt av en løsepengevare-trussel, tidligere brukte Egregor-ransomware-familien den til å skjule sine ondsinnede handlinger.
Krypteringsprosess og krav
White Rabbit retter seg mot et bredt spekter av filtyper og lager en tekstfil med en identisk løsepengemelding for hver låste fil. Navnene på tekstfilene er en kombinasjon av navnet på den relaterte filen vedlagt '.scrypt.txt.' For å sikre at krypteringsprosessen ikke blir hindret, er trusselen i stand til å avslutte spesifikke prosesser og tjenester, for eksempel de som tilhører anti-malware-produkter. White Rabbit prøver også å unngå å forårsake systemkrasj eller kritiske feil ved å hoppe over filene i viktige baner og kataloger. Noen eksempler inkluderer \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ og mer.
Løsepengene viser at White Rabbit kjører en ordning med dobbel utpressing. Før filene har blitt låst, hevder hackerne å ha stjålet viktige private data. Ofrene får 4 dager på seg til å etablere kontakt med nettkriminelle, ellers vil den stjålne informasjonen bli frigitt til offentligheten eller tilbys for salg til konkurrerende organisasjoner. Den nødvendige dekrypteringsnøkkelen vil også bli slettet, noe som gjør gjenoppretting av alle låste filer umulig.
Tilkobling til FIN8
FIN8 APT-gruppen er primært involvert i cyberspionasje, infiltrasjons- og rekognoseringsoperasjoner. Det er visse detaljer som knytter gruppen til White Rabbit-ransomware-trusselen. Som uttalt av forskerne fra Lodestone, har den ondsinnede URL-en sett på som en del av White Rabbit-angrepet tidligere vært relatert til FIN8-gruppen. I tillegg viser funnene deres at White Rabbit bruker en versjon av Badhatch, en bakdør som anses å være en del av FIN8s arsenal av ondsinnede verktøy. Det gjenstår å se om forbindelsene mellom White Rabbit og FIN8 er tilfeldige eller gruppen faktisk utvider sine aktiviteter og går inn i løsepengevare-scenen.
