Ransomware për Lepurin e Bardhë
Në dhjetor, pak para fundit të vitit 2021, një familje e re ransomware u shfaq në peizazhin e krimit kibernetik në një sulm kundër një banke amerikane. I zbuluar nga studiuesit në Trend Micro dhe i cilësuar si ransomware i White Rabbit, kërcënimi shfaq karakteristika të shumta të zbatimit të plotë të malware modern të këtij lloji. Ndërsa rutina e kriptimit të White Rabbit është mjaft e pakomplikuar, ajo tregon një fokus të shtuar në maskimin e veprimeve të tij ndërhyrëse. Duhet të theksohet se disa detaje tregojnë një lidhje midis White Rabbit dhe grupit APT të njohur si FIN8.
Tabela e Përmbajtjes
Detajet e lepurit të bardhë
Pas analizimit të sulmit, ekspertët e infosec vunë re shenja se White Rabbit ishte vendosur në sistemet e synuara përmes përdorimit të Cobalt Strike, një mjet legjitim për testimin e depërtimit që e gjen veten një pjesë të sulmeve me qëllim të keq mjaft shpesh për shkak të veçorive të tij të gjera. Binar aktual i ngarkesës së White Rabbit është një skedar mjaft i vogël, rreth 100 KB, që nuk tregon ndonjë varg ose aktivitet të dukshëm.
Për të zhbllokuar aftësitë e tij shkatërruese, White Rabbit kërkon një fjalëkalim specifik të linjës së komandës. Më pas, kërcënimi mund të deshifrojë konfigurimin e tij të brendshëm dhe të fillojë të ekzekutojë rutinën e tij të enkriptimit. Kjo nuk është hera e parë që kjo teknikë e veçantë është përdorur nga një kërcënim ransomware, më parë familja Egregor ransomware e përdori atë për të fshehur veprimet e tij keqdashëse.
Procesi i enkriptimit dhe kërkesat
White Rabbit synon një gamë të gjerë të llojeve të skedarëve dhe krijon një skedar teksti me një mesazh identik shënimi shpërblyese për çdo skedar të kyçur. Emrat e skedarëve të tekstit janë një kombinim i emrit të skedarit përkatës të bashkangjitur me '.scrypt.txt.' Për të siguruar që procesi i tij i enkriptimit të mos pengohet, kërcënimi është në gjendje të përfundojë procese dhe shërbime specifike, të tilla si ato që i përkasin produkteve anti-malware. White Rabbit gjithashtu përpiqet të shmangë shkaktimin e ndonjë përplasjeje të sistemit ose gabime kritike duke kapërcyer skedarët në shtigje dhe drejtori të rëndësishme. Disa shembuj përfshijnë \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ , dhe më shumë.
Shënimi i shpërblimit tregon se White Rabbit po drejton një skemë zhvatjeje të dyfishtë. Përpara se skedarët të mbylleshin, hakerët pretendojnë se kanë vjedhur me sukses të dhëna të rëndësishme private. Viktimave u jepet 4 ditë kohë për të vendosur kontakte me kriminelët kibernetikë ose informacioni i vjedhur do të publikohet ose do t'u ofrohet për shitje organizatave konkurruese. Çelësi i nevojshëm i deshifrimit do të fshihet gjithashtu, duke e bërë të pamundur rivendosjen e të gjithë skedarëve të kyçur.
Lidhja me FIN8
Grupi FIN8 APT është i përfshirë kryesisht në operacionet e spiunazhit kibernetik, infiltrimit dhe zbulimit. Ka disa detaje që e lidhin grupin me kërcënimin e ransomware-it White Rabbit. Siç thuhet nga studiuesit nga Lodestone, URL-ja keqdashëse e parë si pjesë e sulmit të Lepurit të Bardhë ka qenë e lidhur më parë me grupin FIN8. Për më tepër, gjetjet e tyre tregojnë se White Rabbit po përdor një version të Badhatch, një derë e pasme që konsiderohet të jetë pjesë e arsenalit të mjeteve me qëllim të keq të FIN8. Nëse lidhjet midis White Rabbit dhe FIN8 janë aksidentale ose grupi në të vërtetë po zgjeron aktivitetet e tij dhe po hyn në skenën e ransomware-it, mbetet për t'u parë.
