White Rabbit Ransomware
Decembra, tik pred koncem leta 2021, se je na področju kibernetskega kriminala v napadu na ameriško banko pojavila nova družina ransomware. Grožnja, ki so jo odkrili raziskovalci pri Trend Micro in jo označili kot izsiljevalsko programsko opremo White Rabbit, prikazuje številne popolnoma implementirane značilnosti sodobne zlonamerne programske opreme te vrste. Medtem ko je šifrirna rutina White Rabbit dokaj nezapletena, kaže večjo osredotočenost na prikrivanje njegovih vsiljivih dejanj. Treba je opozoriti, da nekatere podrobnosti kažejo povezavo med Belim zajcem in skupino APT, znano kot FIN8.
Kazalo
Podrobnosti o Belem zajcu
Po analizi napada so strokovnjaki za infosec opazili znake, da je bil White Rabbit razporejen v ciljne sisteme z uporabo Cobalt Strike, zakonitega orodja za testiranje penetracije, ki se zaradi svojih obsežnih funkcij pogosto znajde kot del zlonamernih napadov. Dejanski binarni tovor White Rabbit je precej majhna datoteka, velika približno 100 KB, ki ne kaže nobenih opaznih nizov ali dejavnosti.
Da odklene svoje uničevalne sposobnosti, White Rabbit potrebuje posebno geslo ukazne vrstice. Nato lahko grožnja dešifrira svojo notranjo konfiguracijo in začne izvajati svojo šifrirno rutino. To ni prvič, da je to posebno tehniko uporabila grožnja z izsiljevalsko programsko opremo, prej jo je družina izsiljevalske programske opreme Egregor uporabljala za skrivanje svojih zlonamernih dejanj.
Postopek šifriranja in zahteve
White Rabbit cilja na široko paleto vrst datotek in ustvari besedilno datoteko z enakim sporočilom o odkupnini za vsako zaklenjeno datoteko. Imena besedilnih datotek so kombinacija imena povezane datoteke, dodane z '.scrypt.txt'. Za zagotovitev, da njegov proces šifriranja ni oviran, lahko grožnja prekine določene procese in storitve, kot so tiste, ki pripadajo izdelkom proti zlonamerni programski opremi. White Rabbit se tudi poskuša izogniti povzročitvi zrušitev sistema ali kritičnih napak tako, da preskoči datoteke na pomembnih poteh in imenikih. Nekateri primeri vključujejo \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ in še več.
Odkupnina kaže, da Beli zajec izvaja shemo dvojnega izsiljevanja. Preden so bile datoteke zaklenjene, hekerji trdijo, da so uspešno ukradli ključne zasebne podatke. Žrtve imajo 4 dni časa, da vzpostavijo stik s kibernetičnimi kriminalci, ali pa bodo ukradene informacije objavljene javnosti ali ponujene v prodajo konkurenčnim organizacijam. Izbrisan bo tudi potreben ključ za dešifriranje, zaradi česar bo nemogoče obnoviti vse zaklenjene datoteke.
Povezava s FIN8
Skupina FIN8 APT se ukvarja predvsem s kibervohunažo, infiltracijo in izvidniškimi operacijami. Obstajajo nekatere podrobnosti, ki povezujejo skupino z grožnjo izsiljevalske programske opreme White Rabbit. Kot so navedli raziskovalci iz Lodestonea, je bil zlonamerni URL, ki je bil viden kot del napada White Rabbit, prej povezan s skupino FIN8. Poleg tega njihove ugotovitve kažejo, da White Rabbit uporablja različico Badhatcha, backdoor, ki velja za del arzenala zlonamernih orodij FIN8. Če so povezave med White Rabbit in FIN8 naključne ali skupina dejansko širi svoje dejavnosti in vstopa na sceno izsiljevalske programske opreme, je treba še videti.
