Lloji i ri i Ransomware i Lepurit të Bardhë ka lidhje të mundshme me Egregor
Studiuesit e sigurisë publikuan një raport të fundit mbi një lloj të ri të ransomware. Shpërblim i ri është një anëtar i familjes së tij dhe është quajtur White Rabbit, sipas lepurushit të lezetshëm ASCII që shfaqet në shënimin e shpërblesës. Ransomware besohet të jetë i lidhur me aktorin e avancuar të kërcënimit të vazhdueshëm të njohur si APT8.
APT8 është një nga APT-të e motivuara financiarisht në peizazhin e kërcënimit, i cili ka qenë aktiv që nga viti 2018 dhe ka nisur sulme ransomware kundër bizneseve në industrinë e restoranteve, mikpritjes dhe shitjes me pakicë.
Tabela e Përmbajtjes
Ngjashmëritë midis Lepurit të Bardhë dhe Egregorit
Firma e sigurisë Trend Micro publikoi një raport mbi ransomware-in e ri White Rabbit dhe përshkroi disa ngjashmëri midis llojit të ri dhe ransomware-it të njohur më parë Egregor. Dy llojet e ransomware kanë disa metoda dhe qasje shumë të ngjashme kur bëhet fjalë për mënyrën se si fshehin gjurmët e tyre dhe përpiqen të shmangin zbulimin, edhe pse janë mjaft të ndryshëm për t'u klasifikuar si dy familje të ndryshme.
White Rabbit u ekzaminua për herë të parë në mënyrë më të detajuar disa muaj më parë, pak përpara Krishtlindjeve 2021. Studiuesi i pavarur Michael Gillespie publikoi një postim në Twitter që përmban pamjet e shënimit të plotë të shpërblimit të White Rabbit dhe disa mostra skedarësh të koduar, duke shfaqur shtesën e përdorur për të koduar dosjet.
Lepuri i bardhë shkon për zhvatje të dyfishtë
Shpërblesa e White Rabbit shkon për zhvatje të dyfishtë - një metodë që pothuajse është bërë normë kur bëhet fjalë për sulmet e ransomware. Shënimi i shpërblimit kërcënon se hakerat do të publikojnë informacione të ndjeshme të ekfiltruara nëse shpërblesa nuk paguhet. Gjatë vitit të kaluar, zhvatja e dyfishtë është bërë aq e përhapur saqë nëse një aktor i ri kërcënimi nuk arrin ta bëjë atë, është pothuajse një përjashtim kurioz.
Analiza e ngarkesës së dobishme të White Rabbit tregoi se ngarkesa fillestare e ransomware është e koduar dhe duhet të përdorë një varg fjalëkalimi për të deshifruar konfigurimin e brendshëm të ngarkesës përfundimtare. Në kampionin e analizuar nga studiuesit, vargu i fjalëkalimit i përdorur për këtë proces të brendshëm të deshifrimit ishte "KissMe". Shpërblesësi Egregor përdori teknika shumë të ngjashme errësimi për të fshehur aktivitetin e tij keqdashës, gjë që çoi në krijimin e një lidhjeje të mundshme midis dy familjeve të ransomware.
Për më tepër, disa nga teknikat dhe metodat e përdorura nga White Rabbit janë shumë të ngjashme me metodologjinë e aktorit të kërcënimit të njohur si APT8.
Shënime shpërblese kudo!
Në nivelin teknik, White Rabbit nuk bën asgjë tepër inovative. ransomware kodon skedarët në sistemin e synuar duke shmangur çdo dosje dhe skedar që mund të rrezikojë stabilitetin e përgjithshëm të sistemit. Drejtoritë që përmbajnë drejtuesit e sistemit, skedarët e Windows OS dhe softuerin e instaluar nën skedarët e programit mbahen të paprekura. Të gjithë skedarët e tjerë të përdoruesve janë të koduar dhe shtesa .scrypt u shtohet skedarëve të enkriptuar. ransomware lëshon gjithashtu shënimin e tij të shpërblesës përgjatë secilit skedar të koduar, duke prodhuar shënime shpërblimi të quajtur filename.ext.scrypt.txt.