Nowy szczep ransomware White Rabbit może być powiązany z Egregorem
Badacze bezpieczeństwa opublikowali niedawny raport na temat nowego szczepu oprogramowania ransomware. Nowe oprogramowanie ransomware należy do własnej rodziny i zostało nazwane Białym Królikiem, na cześć uroczego króliczka ASCII, który pojawia się w nocie z żądaniem okupu. Uważa się, że oprogramowanie ransomware jest powiązane z zaawansowanym, trwałym zagrożeniem znanym jako APT8.
APT8 to jeden z finansowo motywowanych APT w krajobrazie zagrożeń, który jest aktywny od 2018 roku i przeprowadza ataki ransomware na firmy z branży restauracyjnej, hotelarskiej i detalicznej.
Spis treści
Podobieństwa między białym królikiem a Egregor
Firma zajmująca się bezpieczeństwem Trend Micro opublikowała raport na temat nowego oprogramowania ransomware White Rabbit i przedstawiła pewne podobieństwa między nowym szczepem a wcześniej znanym oprogramowaniem ransomware Egregor. Te dwie odmiany oprogramowania ransomware mają bardzo podobne metody i podejścia, jeśli chodzi o ukrywanie śladów i próby uniknięcia wykrycia, mimo że są na tyle różne, że można je sklasyfikować jako dwie różne rodziny.
White Rabbit został po raz pierwszy zbadany bardziej szczegółowo kilka miesięcy temu, tuż przed Bożym Narodzeniem 2021 roku. Niezależny badacz Michael Gillespie opublikował post na Twitterze zawierający zrzuty ekranu pełnej noty White Rabbit z żądaniem okupu i kilka przykładowych zaszyfrowanych plików, pokazując rozszerzenie używane do szyfrowania pliki.
Biały królik idzie na podwójne wyłudzenie
Oprogramowanie ransomware White Rabbit służy do podwójnego wymuszenia — metody, która niemal stała się normą w przypadku ataków ransomware. Notatka dotycząca okupu grozi, że hakerzy opublikują poufne, eksfiltrowane informacje, jeśli okup nie zostanie zapłacony. W ciągu ostatniego roku podwójne wymuszenie stało się tak powszechne, że jeśli nowy cyberprzestępca się nie zastosuje, jest to prawie dziwny wyjątek.
Analiza ładunku White Rabbit wykazała, że początkowy ładunek ransomware jest zaszyfrowany i wymaga użycia ciągu hasła do odszyfrowania wewnętrznej konfiguracji końcowego ładunku. W próbce przeanalizowanej przez badaczy ciąg hasła użyty do tego wewnętrznego procesu odszyfrowywania brzmiał „KissMe”. Oprogramowanie ransomware Egregor wykorzystywało bardzo podobne techniki zaciemniania, aby ukryć własną złośliwą aktywność, co doprowadziło do ustalenia możliwego powiązania między dwiema rodzinami oprogramowania ransomware.
Ponadto niektóre techniki i metody stosowane przez White Rabbit są bardzo podobne do metodologii cyberprzestępcy znanego jako APT8.
Notatki dotyczące okupu wszędzie!
Na poziomie technicznym White Rabbit nie robi nic niesamowicie innowacyjnego. Ransomware szyfruje pliki w systemie docelowym, unikając folderów i plików, które mogą zagrozić ogólnej stabilności systemu. Katalogi zawierające sterowniki systemowe, pliki systemu operacyjnego Windows i zainstalowane oprogramowanie w plikach programu pozostają nienaruszone. Wszystkie inne pliki użytkownika są zaszyfrowane, a rozszerzenie .scrypt jest dodawane do zaszyfrowanych plików. Oprogramowanie ransomware umieszcza również notatkę z żądaniem okupu przy każdym zaszyfrowanym pliku, tworząc noty o okupie o nazwie filename.ext.scrypt.txt.