Вхите Раббит Рансомваре
Још у децембру, непосредно пред крај 2021. године, нова породица рансомвера појавила се на сцени сајбер криминала у нападу на америчку банку. Открили су је истраживачи из Тренд Мицро-а и означили је као рансомваре Вхите Раббит, претња приказује вишеструко потпуно имплементиране карактеристике модерног малвера овог типа. Док је рутина шифровања Белог зеца прилично једноставна, она показује повећан фокус на маскирању његових наметљивих радњи. Треба напоменути да одређени детаљи показују везу између Белог зеца и АПТ групе познате као ФИН8.
Преглед садржаја
Детаљи о белом зецу
Након анализе напада, стручњаци за инфосец су приметили знакове да је Бели зец распоређен на циљане системе коришћењем Цобалт Стрике-а, легитимног алата за тестирање пенетрације који се често налази у склопу злонамерних напада због својих опсежних карактеристика. Стварни бинарни терет Вхите Раббит-а је прилично мала датотека, око 100 КБ, која не показује никакве приметне стрингове или активност.
Да би откључао своје деструктивне могућности, Бели зец захтева специфичну лозинку командне линије. Након тога, претња може да дешифрује своју интерну конфигурацију и почне да извршава своју рутину шифровања. Ово није први пут да је ова техника коришћена од стране претње рансомвера, раније ју је Егрегор породица рансомвера користила да сакрије своје злонамерне радње.
Процес шифровања и захтеви
Бели зец циља на широк спектар типова датотека и креира текстуалну датотеку са идентичном поруком о откупнини за сваку закључану датотеку. Имена текстуалних датотека су комбинација имена сродне датотеке која је додата са „.сцрипт.ткт“. Да би се осигурало да његов процес шифровања није ометан, претња може да прекине одређене процесе и услуге, као што су они који припадају производима против малвера. Вхите Раббит такође покушава да избегне да изазове пад система или критичне грешке тако што прескаче датотеке на важним путањама и директоријумима. Неки примери укључују \десктоп.ини, ц:\програмдата\, :\виндовс\, %Усер Темп%\, :\програмфилес\ и још много тога.
Обавештење о откупнини показује да Бели зец води шему двоструке изнуде. Пре него што су фајлови закључани, хакери тврде да су успешно украли кључне приватне податке. Жртвама је дато 4 дана да успоставе контакт са сајбер криминалцима или ће украдене информације бити објављене у јавности или понуђене на продају конкурентским организацијама. Неопходан кључ за дешифровање ће такође бити обрисан, чинећи враћање свих закључаних датотека немогућим.
Веза са ФИН8
Група ФИН8 АПТ је првенствено укључена у сајбер шпијунажу, инфилтрацију и извиђачке операције. Постоје одређени детаљи који повезују групу са претњом рансомваре-а Вхите Раббит. Како наводе истраживачи из Лодестонеа, злонамерни УРЛ који се види као део напада Белог зеца раније је био повезан са групом ФИН8. Поред тога, њихови налази показују да Вхите Раббит користи верзију Бадхатцх-а, бацкдоор-а који се сматра дијелом арсенала злонамјерних алата ФИН8. Остаје да се види да ли су везе између Белог зеца и ФИН8 случајне или група заправо проширује своје активности и улази на сцену рансомвера.
