White Rabbit Ransomware
În decembrie, chiar înainte de sfârșitul anului 2021, o nouă familie de ransomware a apărut în peisajul criminalității cibernetice într-un atac împotriva unei bănci din SUA. Descoperită de cercetătorii de la Trend Micro și catalogată drept ransomware White Rabbit, amenințarea prezintă multiple caracteristici de implementare completă a malware-ului modern de acest tip. În timp ce rutina de criptare a lui White Rabbit este destul de simplă, ea arată un accent sporit pe mascarea acțiunilor sale intruzive. Trebuie remarcat faptul că anumite detalii arată o legătură între White Rabbit și grupul APT cunoscut sub numele de FIN8.
Cuprins
Detalii iepure alb
După ce au analizat atacul, experții infosec au observat semne că White Rabbit a fost instalat în sistemele vizate prin utilizarea Cobalt Strike, un instrument legitim de testare a pătrunderii care se regăsește destul de des în atacurile rău intenționate datorită caracteristicilor sale extinse. Binarul real al încărcăturii White Rabbit este un fișier destul de mic, de aproximativ 100 KB, care nu arată niciun șir sau activitate vizibilă.
Pentru a-și debloca capacitățile distructive, White Rabbit necesită o parolă specifică pentru linia de comandă. Ulterior, amenințarea își poate decripta configurația internă și poate începe să-și execute rutina de criptare. Nu este prima dată când această tehnică este folosită de o amenințare de tip ransomware, anterior familia de ransomware Egregor a folosit-o pentru a-și ascunde acțiunile rău intenționate.
Procesul și cerințele de criptare
White Rabbit vizează o gamă largă de tipuri de fișiere și creează un fișier text cu un mesaj de răscumpărare identic pentru fiecare fișier blocat. Numele fișierelor text sunt o combinație a numelui fișierului asociat, atașat cu „.scrypt.txt”. Pentru a se asigura că procesul său de criptare nu este împiedicat, amenințarea este capabilă să încheie anumite procese și servicii, cum ar fi cele aparținând produselor anti-malware. White Rabbit încearcă, de asemenea, să evite să provoace erori de sistem sau erori critice, omitând fișierele din căi și directoare importante. Unele exemple includ \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ și multe altele.
Nota de răscumpărare arată că White Rabbit rulează o schemă de dublă extorcare. Înainte ca fișierele să fie blocate, hackerii susțin că au furat cu succes date private cruciale. Victimelor li se acordă 4 zile pentru a stabili contactul cu infractorii cibernetici sau informațiile furate vor fi dezvăluite publicului sau oferite spre vânzare organizațiilor concurente. Cheia de decriptare necesară va fi, de asemenea, ștearsă, făcând imposibilă restaurarea tuturor fișierelor blocate.
Conexiune la FIN8
Grupul FIN8 APT este implicat în principal în operațiuni de spionaj cibernetic, infiltrare și recunoaștere. Există anumite detalii care leagă grupul de amenințarea ransomware White Rabbit. După cum au afirmat cercetătorii de la Lodestone, URL-ul rău intenționat văzut ca parte a atacului White Rabbit a fost anterior legat de grupul FIN8. În plus, descoperirile lor arată că White Rabbit folosește o versiune a Badhatch, o ușă din spate considerată a face parte din arsenalul de instrumente rău intenționate FIN8. Dacă conexiunile dintre White Rabbit și FIN8 sunt accidentale sau grupul își extinde efectiv activitățile și intră în scena ransomware rămâne de văzut.
