ਵ੍ਹਾਈਟ ਰੈਬਿਟ ਰੈਨਸਮਵੇਅਰ

ਦਸੰਬਰ ਵਿੱਚ, 2021 ਦੇ ਅੰਤ ਤੋਂ ਠੀਕ ਪਹਿਲਾਂ, ਇੱਕ ਯੂਐਸ ਬੈਂਕ ਦੇ ਵਿਰੁੱਧ ਇੱਕ ਹਮਲੇ ਵਿੱਚ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਲੈਂਡਸਕੇਪ ਵਿੱਚ ਇੱਕ ਨਵਾਂ ਰੈਨਸਮਵੇਅਰ ਪਰਿਵਾਰ ਉਭਰਿਆ। Trend Micro 'ਤੇ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਖੋਜਿਆ ਗਿਆ ਅਤੇ ਵ੍ਹਾਈਟ ਰੈਬਿਟ ਰੈਨਸਮਵੇਅਰ ਦੇ ਰੂਪ ਵਿੱਚ ਹੱਲ ਕੀਤਾ ਗਿਆ, ਇਹ ਧਮਕੀ ਇਸ ਕਿਸਮ ਦੇ ਆਧੁਨਿਕ ਮਾਲਵੇਅਰ ਦੀਆਂ ਕਈ ਪੂਰੀ ਤਰ੍ਹਾਂ ਲਾਗੂ ਕਰਨ ਵਾਲੀਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ। ਜਦੋਂ ਕਿ ਵ੍ਹਾਈਟ ਰੈਬਿਟ ਦੀ ਐਨਕ੍ਰਿਪਸ਼ਨ ਰੁਟੀਨ ਕਾਫ਼ੀ ਗੁੰਝਲਦਾਰ ਹੈ, ਇਹ ਇਸਦੀਆਂ ਘੁਸਪੈਠ ਵਾਲੀਆਂ ਕਾਰਵਾਈਆਂ ਨੂੰ ਨਕਾਬ ਪਾਉਣ 'ਤੇ ਵਧੇਰੇ ਫੋਕਸ ਦਿਖਾਉਂਦਾ ਹੈ। ਇਹ ਨੋਟ ਕੀਤਾ ਜਾਣਾ ਚਾਹੀਦਾ ਹੈ ਕਿ ਕੁਝ ਵੇਰਵੇ ਵ੍ਹਾਈਟ ਰੈਬਿਟ ਅਤੇ FIN8 ਵਜੋਂ ਜਾਣੇ ਜਾਂਦੇ APT ਸਮੂਹ ਦੇ ਵਿਚਕਾਰ ਇੱਕ ਸਬੰਧ ਦਿਖਾਉਂਦੇ ਹਨ।

ਚਿੱਟੇ ਖਰਗੋਸ਼ ਦੇ ਵੇਰਵੇ

ਹਮਲੇ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਇਨਫੋਸੈਕਸ ਮਾਹਰਾਂ ਨੇ ਸੰਕੇਤ ਦੇਖਿਆ ਕਿ ਚਿੱਟੇ ਖਰਗੋਸ਼ ਨੂੰ ਕੋਬਾਲਟ ਸਟ੍ਰਾਈਕ, ਇੱਕ ਜਾਇਜ਼ ਪ੍ਰਵੇਸ਼-ਟੈਸਟਿੰਗ ਟੂਲ ਦੀ ਵਰਤੋਂ ਦੁਆਰਾ ਨਿਸ਼ਾਨਾ ਸਿਸਟਮਾਂ ਵਿੱਚ ਤਾਇਨਾਤ ਕੀਤਾ ਗਿਆ ਸੀ ਜੋ ਆਪਣੇ ਆਪ ਨੂੰ ਇਸਦੇ ਵਿਆਪਕ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੇ ਕਾਰਨ ਅਕਸਰ ਖਤਰਨਾਕ ਹਮਲਿਆਂ ਦਾ ਇੱਕ ਹਿੱਸਾ ਪਾਉਂਦਾ ਹੈ। ਅਸਲ ਵ੍ਹਾਈਟ ਰੈਬਿਟ ਪੇਲੋਡ ਬਾਈਨਰੀ ਇੱਕ ਛੋਟੀ ਜਿਹੀ ਫਾਈਲ ਹੈ, ਲਗਭਗ 100KB, ਜੋ ਕਿ ਕੋਈ ਧਿਆਨ ਦੇਣ ਯੋਗ ਸਤਰ ਜਾਂ ਗਤੀਵਿਧੀ ਨਹੀਂ ਦਿਖਾਉਂਦੀ ਹੈ।

ਇਸਦੀਆਂ ਵਿਨਾਸ਼ਕਾਰੀ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਅਨਲੌਕ ਕਰਨ ਲਈ, ਵ੍ਹਾਈਟ ਰੈਬਿਟ ਨੂੰ ਇੱਕ ਖਾਸ ਕਮਾਂਡ-ਲਾਈਨ ਪਾਸਵਰਡ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਬਾਅਦ ਵਿੱਚ, ਧਮਕੀ ਇਸਦੀ ਅੰਦਰੂਨੀ ਸੰਰਚਨਾ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰ ਸਕਦੀ ਹੈ ਅਤੇ ਇਸਦੇ ਐਨਕ੍ਰਿਪਸ਼ਨ ਰੁਟੀਨ ਨੂੰ ਚਲਾਉਣਾ ਸ਼ੁਰੂ ਕਰ ਸਕਦੀ ਹੈ। ਇਹ ਪਹਿਲੀ ਵਾਰ ਨਹੀਂ ਹੈ ਜਦੋਂ ਇਸ ਵਿਸ਼ੇਸ਼ ਤਕਨੀਕ ਦੀ ਵਰਤੋਂ ਕਿਸੇ ਰੈਨਸਮਵੇਅਰ ਖ਼ਤਰੇ ਦੁਆਰਾ ਕੀਤੀ ਗਈ ਹੈ, ਇਸ ਤੋਂ ਪਹਿਲਾਂ ਐਗਰੇਗਰ ਰੈਨਸਮਵੇਅਰ ਪਰਿਵਾਰ ਨੇ ਇਸਦੀ ਵਰਤੋਂ ਆਪਣੀਆਂ ਖਤਰਨਾਕ ਕਾਰਵਾਈਆਂ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਕੀਤੀ ਸੀ।

ਏਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਅਤੇ ਮੰਗਾਂ

ਵ੍ਹਾਈਟ ਰੈਬਿਟ ਫਾਈਲ ਕਿਸਮਾਂ ਦੀ ਇੱਕ ਵਿਸ਼ਾਲ ਸ਼੍ਰੇਣੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਹਰੇਕ ਲਾਕ ਕੀਤੀ ਫਾਈਲ ਲਈ ਇੱਕ ਸਮਾਨ ਰਿਹਾਈ-ਸਮੂਹ ਨੋਟ ਸੰਦੇਸ਼ ਦੇ ਨਾਲ ਇੱਕ ਟੈਕਸਟ ਫਾਈਲ ਬਣਾਉਂਦਾ ਹੈ। ਟੈਕਸਟ ਫਾਈਲਾਂ ਦੇ ਨਾਮ '.scrypt.txt' ਨਾਲ ਜੁੜੀ ਸੰਬੰਧਿਤ ਫਾਈਲ ਦੇ ਨਾਮ ਦਾ ਸੁਮੇਲ ਹਨ। ਇਹ ਸੁਨਿਸ਼ਚਿਤ ਕਰਨ ਲਈ ਕਿ ਇਸਦੀ ਏਨਕ੍ਰਿਪਸ਼ਨ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ ਰੁਕਾਵਟ ਨਹੀਂ ਹੈ, ਧਮਕੀ ਖਾਸ ਪ੍ਰਕਿਰਿਆਵਾਂ ਅਤੇ ਸੇਵਾਵਾਂ ਨੂੰ ਖਤਮ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹੈ, ਜਿਵੇਂ ਕਿ ਐਂਟੀ-ਮਾਲਵੇਅਰ ਉਤਪਾਦਾਂ ਨਾਲ ਸਬੰਧਤ। ਵ੍ਹਾਈਟ ਰੈਬਿਟ ਮਹੱਤਵਪੂਰਨ ਮਾਰਗਾਂ ਅਤੇ ਡਾਇਰੈਕਟਰੀਆਂ ਵਿੱਚ ਫਾਈਲਾਂ ਨੂੰ ਛੱਡ ਕੇ ਕਿਸੇ ਵੀ ਸਿਸਟਮ ਕਰੈਸ਼ ਜਾਂ ਗੰਭੀਰ ਤਰੁੱਟੀਆਂ ਪੈਦਾ ਕਰਨ ਤੋਂ ਬਚਣ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ। ਕੁਝ ਉਦਾਹਰਣਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ , ਅਤੇ ਹੋਰ।

ਫਿਰੌਤੀ ਨੋਟ ਦਰਸਾਉਂਦਾ ਹੈ ਕਿ ਵ੍ਹਾਈਟ ਰੈਬਿਟ ਡਬਲ-ਜਬਰਦਸਤੀ ਸਕੀਮ ਚਲਾ ਰਿਹਾ ਹੈ। ਫਾਈਲਾਂ ਨੂੰ ਲਾਕ ਕੀਤੇ ਜਾਣ ਤੋਂ ਪਹਿਲਾਂ, ਹੈਕਰਾਂ ਨੇ ਮਹੱਤਵਪੂਰਨ ਨਿੱਜੀ ਡੇਟਾ ਨੂੰ ਸਫਲਤਾਪੂਰਵਕ ਚੋਰੀ ਕਰਨ ਦਾ ਦਾਅਵਾ ਕੀਤਾ ਹੈ। ਪੀੜਤਾਂ ਨੂੰ ਸਾਈਬਰ ਅਪਰਾਧੀਆਂ ਨਾਲ ਸੰਪਰਕ ਸਥਾਪਤ ਕਰਨ ਲਈ 4 ਦਿਨਾਂ ਦਾ ਸਮਾਂ ਦਿੱਤਾ ਜਾਂਦਾ ਹੈ ਜਾਂ ਚੋਰੀ ਕੀਤੀ ਜਾਣਕਾਰੀ ਨੂੰ ਜਨਤਾ ਨੂੰ ਜਾਰੀ ਕੀਤਾ ਜਾਵੇਗਾ ਜਾਂ ਮੁਕਾਬਲਾ ਕਰਨ ਵਾਲੀਆਂ ਸੰਸਥਾਵਾਂ ਨੂੰ ਵਿਕਰੀ ਲਈ ਪੇਸ਼ ਕੀਤਾ ਜਾਵੇਗਾ। ਲੋੜੀਂਦੀ ਡੀਕ੍ਰਿਪਸ਼ਨ ਕੁੰਜੀ ਨੂੰ ਵੀ ਮਿਟਾ ਦਿੱਤਾ ਜਾਵੇਗਾ, ਜਿਸ ਨਾਲ ਸਾਰੀਆਂ ਲੌਕ ਕੀਤੀਆਂ ਫਾਈਲਾਂ ਦੀ ਬਹਾਲੀ ਅਸੰਭਵ ਹੋ ਜਾਵੇਗੀ।

FIN8 ਨਾਲ ਕਨੈਕਸ਼ਨ

FIN8 APT ਸਮੂਹ ਮੁੱਖ ਤੌਰ 'ਤੇ ਸਾਈਬਰ ਜਾਸੂਸੀ, ਘੁਸਪੈਠ, ਅਤੇ ਖੋਜ ਕਾਰਜਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹੈ। ਕੁਝ ਵੇਰਵੇ ਹਨ ਜੋ ਗਰੁੱਪ ਨੂੰ ਵ੍ਹਾਈਟ ਰੈਬਿਟ ਰੈਨਸਮਵੇਅਰ ਖ਼ਤਰੇ ਨਾਲ ਜੋੜਦੇ ਹਨ। ਜਿਵੇਂ ਕਿ ਲੋਡਸਟੋਨ ਦੇ ਖੋਜਕਰਤਾਵਾਂ ਦੁਆਰਾ ਦੱਸਿਆ ਗਿਆ ਹੈ, ਚਿੱਟੇ ਖਰਗੋਸ਼ ਦੇ ਹਮਲੇ ਦੇ ਹਿੱਸੇ ਵਜੋਂ ਦੇਖਿਆ ਗਿਆ ਖਤਰਨਾਕ URL ਪਹਿਲਾਂ FIN8 ਸਮੂਹ ਨਾਲ ਸੰਬੰਧਿਤ ਹੈ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਉਹਨਾਂ ਦੀਆਂ ਖੋਜਾਂ ਦਰਸਾਉਂਦੀਆਂ ਹਨ ਕਿ ਵ੍ਹਾਈਟ ਰੈਬਿਟ ਬਦਚ ਦੇ ਇੱਕ ਸੰਸਕਰਣ ਦੀ ਵਰਤੋਂ ਕਰ ਰਿਹਾ ਹੈ, ਇੱਕ ਬੈਕਡੋਰ ਜੋ ਕਿ FIN8 ਦੇ ਖਤਰਨਾਕ ਸਾਧਨਾਂ ਦੇ ਸ਼ਸਤਰ ਦਾ ਹਿੱਸਾ ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ। ਜੇਕਰ ਵ੍ਹਾਈਟ ਰੈਬਿਟ ਅਤੇ FIN8 ਵਿਚਕਾਰ ਕਨੈਕਸ਼ਨ ਅਚਾਨਕ ਹਨ ਜਾਂ ਸਮੂਹ ਅਸਲ ਵਿੱਚ ਆਪਣੀਆਂ ਗਤੀਵਿਧੀਆਂ ਦਾ ਵਿਸਥਾਰ ਕਰ ਰਿਹਾ ਹੈ ਅਤੇ ਰੈਨਸਮਵੇਅਰ ਸੀਨ ਵਿੱਚ ਦਾਖਲ ਹੋ ਰਿਹਾ ਹੈ ਤਾਂ ਇਹ ਦੇਖਣਾ ਬਾਕੀ ਹੈ।