Nova vrsta izsiljevalske programske opreme White Rabbit je možna povezava z Egregorjem
Varnostni raziskovalci so objavili nedavno poročilo o novi vrsti izsiljevalske programske opreme. Nova odkupovalna programska oprema je član lastne družine in je bila poimenovana White Rabbit, po ljubkem zajčku ASCII, ki je prikazan v odkupnini. Izsiljevalska programska oprema naj bi bila povezana z naprednim akterjem trajne grožnje, znanim kot APT8.
APT8 je eden od finančno motiviranih APT na področju groženj, ki je aktiven od leta 2018 in je sprožil napade z izsiljevalsko programsko opremo na podjetja v restavracijah, gostinstvu in maloprodaji.
Kazalo
Podobnosti med belim zajcem in egregorjem
Varnostno podjetje Trend Micro je objavilo poročilo o novi izsiljevalski programski opremi White Rabbit in predstavilo nekatere podobnosti med novim sevom in prej znano izsiljevalsko programsko opremo Egregor. Obe vrsti ransomware imata nekaj zelo podobnih metod in pristopov, ko gre za način, kako skrijejo svoje sledi in se poskušajo izogniti odkrivanju, čeprav sta dovolj različni, da bi jih lahko razvrstili kot dve različni družini.
Beli zajček je bil prvič podrobneje pregledan pred nekaj meseci, tik pred božičem 2021. Neodvisni raziskovalec Michael Gillespie je objavil objavo na Twitterju, ki vsebuje posnetke zaslona celotnega obvestila o odkupnini Belega zajca in nekaj vzorcev šifriranih datotek, ki prikazujejo razširitev, ki se uporablja za šifrirano datoteke.
Beli zajec gre za dvojno izsiljevanje
Izsiljevalska programska oprema White Rabbit se uporablja za dvojno izsiljevanje – metoda, ki je skoraj postala norma, ko gre za napade izsiljevalske programske opreme. Odkupnina grozi, da bodo hekerji objavili občutljive eksfiltrirane podatke, če odkupnina ne bo plačana. V zadnjem letu je dvojno izsiljevanje postalo tako razširjeno, da če se novi akter grožnje ne loti, je to skoraj nenavadna izjema.
Analiza obremenitve White Rabbit je pokazala, da je začetna koristna obremenitev izsiljevalske programske opreme šifrirana in da mora uporabiti niz gesla za dešifriranje notranje konfiguracije končnega tovora. V vzorcu, ki so ga analizirali raziskovalci, je bil niz gesla, uporabljen za ta notranji postopek dešifriranja, "KissMe". Odkupniška programska oprema Egregor je uporabila zelo podobne tehnike zakrivanja, da bi skrila lastno zlonamerno dejavnost, kar je privedlo do vzpostavitve možne povezave med obema družinama izsiljevalske programske opreme.
Poleg tega so nekatere tehnike in metode, ki jih uporablja White Rabbit, zelo podobne metodologiji akterja grožnje, znanega kot APT8.
Opombe z odkupnino povsod!
Na tehnični ravni White Rabbit ne naredi nič neverjetno inovativnega. Izsiljevalska programska oprema šifrira datoteke v ciljnem sistemu, hkrati pa se izogiba morebitnim mapam in datotekam, ki bi lahko ogrozile splošno stabilnost sistema. Imeniki, ki vsebujejo sistemske gonilnike, datoteke operacijskega sistema Windows in nameščeno programsko opremo pod programskimi datotekami, ostanejo nedotaknjeni. Vse druge uporabniške datoteke so šifrirane, šifriranim datotekam pa je dodana razširitev .scrypt. Odkupniška programska oprema prav tako spusti svojo odkupnino ob vsako šifrirano datoteko in ustvari opombe z odkupnino z imenom filename.ext.scrypt.txt.