Программа-вымогатель White Rabbit
Еще в декабре, прямо перед концом 2021 года, в среде киберпреступников появилось новое семейство программ-вымогателей в результате атаки на американский банк. Эта угроза, обнаруженная исследователями Trend Micro и названная программой-вымогателем White Rabbit, демонстрирует множество полноценных характеристик современных вредоносных программ этого типа. Хотя процедура шифрования White Rabbit довольно проста, она демонстрирует повышенное внимание к маскировке своих навязчивых действий. Следует отметить, что некоторые детали указывают на связь между White Rabbit и группой APT, известной как FIN8.
Оглавление
Детали белого кролика
Проанализировав атаку, эксперты по информационной безопасности заметили признаки того, что White Rabbit был развернут на целевых системах с помощью Cobalt Strike, законного инструмента тестирования на проникновение, который довольно часто оказывается частью вредоносных атак из-за его обширных функций. Фактический двоичный файл полезной нагрузки White Rabbit представляет собой довольно небольшой файл, около 100 КБ, который не показывает каких-либо заметных строк или активности.
Чтобы разблокировать свои разрушительные возможности, White Rabbit требует определенного пароля командной строки. После этого угроза может расшифровать свою внутреннюю конфигурацию и начать выполнение процедуры шифрования. Это не первый раз, когда эта конкретная техника используется вымогателями, ранее семейство вымогателей Egregor использовало ее, чтобы скрыть свои вредоносные действия.
Процесс шифрования и требования
White Rabbit нацелен на широкий спектр типов файлов и создает текстовый файл с идентичным сообщением о выкупе для каждого заблокированного файла. Имена текстовых файлов представляют собой комбинацию имени соответствующего файла с добавлением «.scrypt.txt». Чтобы гарантировать беспрепятственный процесс шифрования, угроза способна завершать определенные процессы и службы, например те, которые относятся к продуктам для защиты от вредоносных программ. White Rabbit также пытается избежать каких-либо сбоев системы или критических ошибок, пропуская файлы в важных путях и каталогах. Некоторые примеры включают \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ и другие.
Записка о выкупе показывает, что Белый Кролик использует схему двойного вымогательства. Прежде чем файлы были заблокированы, хакеры утверждают, что успешно украли важные личные данные. Жертвам дается 4 дня, чтобы установить контакт с киберпреступниками, в противном случае украденная информация будет обнародована или предложена для продажи конкурирующим организациям. Необходимый ключ дешифрования также будет удален, что сделает невозможным восстановление всех заблокированных файлов.
Подключение к FIN8
Группа FIN8 APT в основном занимается кибершпионажем, проникновением и разведывательными операциями. Есть определенные детали, которые связывают группу с угрозой-вымогателем White Rabbit. Как заявили исследователи из Lodestone, вредоносный URL-адрес, рассматриваемый как часть атаки White Rabbit, ранее был связан с группой FIN8. Кроме того, их результаты показывают, что White Rabbit использует версию Badhatch, бэкдор, который считается частью арсенала вредоносных инструментов FIN8. Является ли связь между White Rabbit и FIN8 случайной или группа действительно расширяет свою деятельность и выходит на сцену программ-вымогателей, еще неизвестно.
