Ransomware bieleho králika
Ešte v decembri, tesne pred koncom roka 2021, sa v prostredí počítačovej kriminality objavila nová rodina ransomvéru pri útoku na americkú banku. Hrozba, ktorú objavili výskumníci zo spoločnosti Trend Micro a bola označená ako ransomvér White Rabbit, vykazuje viaceré plne implementované charakteristiky moderného malvéru tohto typu. Aj keď je šifrovacia rutina Bieleho králika pomerne nekomplikovaná, ukazuje zvýšené zameranie na maskovanie svojich rušivých akcií. Treba poznamenať, že určité detaily ukazujú spojenie medzi White Rabbit a skupinou APT známou ako FIN8.
Obsah
Podrobnosti o bielom králikovi
Po analýze útoku experti z infosec zaznamenali známky toho, že White Rabbit bol nasadený do cieľových systémov pomocou Cobalt Strike, legitímneho nástroja na testovanie prieniku, ktorý sa vďaka svojim rozsiahlym funkciám stáva často súčasťou škodlivých útokov. Skutočná binárna hodnota užitočného zaťaženia bieleho králika je pomerne malý súbor, približne 100 kB, ktorý nevykazuje žiadne viditeľné reťazce ani aktivitu.
Na odomknutie svojich deštruktívnych schopností vyžaduje White Rabbit špecifické heslo príkazového riadku. Potom môže hrozba dešifrovať svoju internú konfiguráciu a začať vykonávať svoju šifrovaciu rutinu. Nie je to prvýkrát, čo túto konkrétnu techniku použila hrozba ransomvéru, predtým ju rodina ransomvéru Egregor využívala na skrytie svojich škodlivých akcií.
Proces šifrovania a požiadavky
White Rabbit sa zameriava na širokú škálu typov súborov a vytvára textový súbor s identickou správou o výkupnom pre každý uzamknutý súbor. Názvy textových súborov sú kombináciou názvu súvisiaceho súboru s pripojenou príponou „.scrypt.txt“. Aby sa zaistilo, že proces šifrovania nebude narušený, hrozba je schopná ukončiť špecifické procesy a služby, ako napríklad tie, ktoré patria k antimalvérovým produktom. White Rabbit sa tiež snaží vyhnúť sa zlyhaniu systému alebo kritickým chybám preskakovaním súborov v dôležitých cestách a adresároch. Niektoré príklady zahŕňajú \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ a ďalšie.
Výkupné ukazuje, že Biely králik prevádzkuje schému dvojitého vydierania. Predtým, ako boli súbory uzamknuté, hackeri tvrdia, že úspešne ukradli dôležité súkromné údaje. Obete majú 4 dni na to, aby nadviazali kontakt s kyberzločincami, inak budú ukradnuté informácie zverejnené alebo ponúknuté na predaj konkurenčným organizáciám. Vymaže sa aj potrebný dešifrovací kľúč, čím sa znemožní obnovenie všetkých uzamknutých súborov.
Pripojenie na FIN8
Skupina FIN8 APT sa primárne zaoberá kyberšpionážou, infiltráciou a prieskumnými operáciami. Existujú určité podrobnosti, ktoré spájajú skupinu s hrozbou ransomvéru White Rabbit. Ako uviedli vedci z Lodestone, škodlivá adresa URL, ktorá bola videná ako súčasť útoku na bieleho králika, už predtým súvisela so skupinou FIN8. Okrem toho ich zistenia ukazujú, že White Rabbit používa verziu Badhatch, zadné vrátka, ktoré sa považujú za súčasť arzenálu škodlivých nástrojov FIN8. Či sú spojenia medzi White Rabbit a FIN8 náhodné alebo skupina skutočne rozširuje svoje aktivity a vstupuje na scénu ransomvéru, to sa ešte len uvidí.
