Новый штамм вируса-вымогателя White Rabbit может быть связан с эгрегором
Исследователи безопасности опубликовали недавний отчет о новом штамме программы-вымогателя. Новая программа-вымогатель является членом своего собственного семейства и получила название White Rabbit в честь симпатичного кролика ASCII, который появляется в записке с требованием выкупа. Считается, что программа-вымогатель связана с продвинутой постоянной угрозой, известной как APT8.
APT8 — одна из финансово мотивированных APT в ландшафте угроз, которая активна с 2018 года и запустила атаки программ-вымогателей на предприятия в ресторанной, гостиничной и розничной отраслях.
Оглавление
Сходства между Белым Кроликом и Эгрегором
Охранная компания Trend Micro опубликовала отчет о новой программе-вымогателе White Rabbit и указала на некоторое сходство между новым штаммом и ранее известной программой-вымогателем Egregor. Эти два штамма программ-вымогателей имеют очень похожие методы и подходы, когда дело доходит до того, как они скрывают свои следы и пытаются избежать обнаружения, даже если они достаточно различны, чтобы их можно было классифицировать как два разных семейства.
White Rabbit впервые был изучен более подробно пару месяцев назад, незадолго до Рождества 2021 года. Независимый исследователь Майкл Гиллеспи опубликовал в Твиттере сообщение, содержащее скриншоты полной записки Белого Кролика о выкупе и пару образцов зашифрованных файлов, демонстрирующих расширение, используемое для шифрования. файлы.
Белый Кролик идет на двойное вымогательство
Программа-вымогатель White Rabbit использует двойное вымогательство — метод, который почти стал нормой, когда речь идет об атаках программ-вымогателей. В записке с требованием выкупа содержится угроза, что хакеры опубликуют конфиденциальную информацию, полученную от кражи, если выкуп не будет выплачен. За последний год двойное вымогательство стало настолько распространенным явлением, что если новый злоумышленник не может пойти на это, это почти любопытное исключение.
Анализ полезной нагрузки White Rabbit показал, что начальная полезная нагрузка программы-вымогателя зашифрована и требует использования строки пароля для расшифровки внутренней конфигурации окончательной полезной нагрузки. В образце, проанализированном исследователями, строка пароля, используемая для этого внутреннего процесса расшифровки, была «KissMe». Программа-вымогатель Egregor использовала очень похожие методы запутывания, чтобы скрыть свою вредоносную активность, что привело к установлению возможной связи между двумя семействами программ-вымогателей.
Кроме того, некоторые приемы и методы, используемые White Rabbit, очень похожи на методологию злоумышленника, известного как APT8.
Записки о выкупе повсюду!
На техническом уровне White Rabbit не делает ничего невероятно инновационного. Программа-вымогатель шифрует файлы в целевой системе, избегая при этом любых папок и файлов, которые могут поставить под угрозу общую стабильность системы. Каталоги, содержащие системные драйверы, файлы ОС Windows и установленное программное обеспечение в Program Files, остаются нетронутыми. Все остальные пользовательские файлы шифруются, и к зашифрованным файлам добавляется расширение .scrypt. Программа-вымогатель также размещает свои заметки о выкупе в каждом зашифрованном файле, создавая заметки о выкупе с именем filename.ext.scrypt.txt.