White Rabbit Ransomware
W grudniu, tuż przed końcem 2021 roku, w krajobrazie cyberprzestępczości pojawiła się nowa rodzina oprogramowania ransomware podczas ataku na amerykański bank. Odkryte przez badaczy z Trend Micro i oznaczone jako ransomware White Rabbit, zagrożenie wykazuje wiele cech umożliwiających pełne wdrożenie współczesnego złośliwego oprogramowania tego typu. Chociaż procedura szyfrowania White Rabbit jest dość nieskomplikowana, pokazuje zwiększony nacisk na maskowanie swoich natrętnych działań. Należy zauważyć, że niektóre szczegóły wskazują na związek między White Rabbit a grupą APT znaną jako FIN8.
Spis treści
Szczegóły dotyczące białego królika
Po przeanalizowaniu ataku eksperci infosec zauważyli oznaki, że White Rabbit został wdrożony do atakowanych systemów za pomocą Cobalt Strike, legalnego narzędzia do testowania penetracji, które dość często jest częścią złośliwych ataków ze względu na swoje rozbudowane funkcje. Właściwy plik binarny ładunku White Rabbit jest raczej małym plikiem, około 100 KB, który nie pokazuje żadnych zauważalnych ciągów ani aktywności.
Aby odblokować swoje destrukcyjne możliwości, White Rabbit wymaga określonego hasła wiersza poleceń. Następnie zagrożenie może odszyfrować swoją wewnętrzną konfigurację i rozpocząć wykonywanie procedury szyfrowania. To nie pierwszy raz, kiedy ta konkretna technika została wykorzystana przez zagrożenie ransomware, wcześniej rodzina ransomware Egregor wykorzystywała ją do ukrywania złośliwych działań.
Proces i wymagania szyfrowania
White Rabbit atakuje szeroką gamę typów plików i tworzy plik tekstowy z identyczną wiadomością z żądaniem okupu dla każdego zablokowanego pliku. Nazwy plików tekstowych są kombinacją nazwy powiązanego pliku z dopiskiem „.scrypt.txt”. Aby zapewnić, że proces szyfrowania nie zostanie utrudniony, zagrożenie jest w stanie zakończyć określone procesy i usługi, takie jak te należące do produktów antymalware. White Rabbit stara się również uniknąć awarii systemu lub błędów krytycznych, pomijając pliki w ważnych ścieżkach i katalogach. Niektóre przykłady to \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ i inne.
Notatka o okupie pokazuje, że Biały Królik prowadzi system podwójnego wymuszenia. Przed zablokowaniem plików hakerzy twierdzą, że pomyślnie ukradli kluczowe prywatne dane. Ofiary mają 4 dni na nawiązanie kontaktu z cyberprzestępcami, w przeciwnym razie skradzione informacje zostaną upublicznione lub wystawione na sprzedaż konkurencyjnym organizacjom. Niezbędny klucz deszyfrujący zostanie również usunięty, co uniemożliwi przywrócenie wszystkich zablokowanych plików.
Połączenie z FIN8
Grupa FIN8 APT jest głównie zaangażowana w operacje cyberszpiegowskie, infiltracyjne i rozpoznawcze. Istnieją pewne szczegóły, które łączą grupę z zagrożeniem ransomware White Rabbit. Jak stwierdzili badacze z Lodestone, złośliwy adres URL postrzegany jako część ataku White Rabbit był wcześniej powiązany z grupą FIN8. Ponadto ich odkrycia pokazują, że White Rabbit używa wersji Badhatcha, tylnego wejścia uważanego za część arsenału złośliwych narzędzi FIN8. Jeśli powiązania między White Rabbit a FIN8 są przypadkowe lub grupa faktycznie rozszerza swoją działalność i wkracza na scenę ransomware, to się okaże.
