వైట్ రాబిట్ రాన్సమ్‌వేర్

తిరిగి డిసెంబర్‌లో, 2021 ముగిసేలోపు, US బ్యాంక్‌పై దాడిలో సైబర్‌క్రైమ్ ల్యాండ్‌స్కేప్‌లో కొత్త ransomware కుటుంబం ఉద్భవించింది. ట్రెండ్ మైక్రోలోని పరిశోధకులచే కనుగొనబడింది మరియు వైట్ రాబిట్ ransomwareగా పరిగణించబడింది, ఈ ముప్పు ఈ రకమైన ఆధునిక మాల్వేర్ యొక్క బహుళ పూర్తి-అమలు లక్షణాలను ప్రదర్శిస్తుంది. వైట్ రాబిట్ యొక్క ఎన్‌క్రిప్షన్ రొటీన్ చాలా క్లిష్టంగా లేనప్పటికీ, ఇది దాని చొరబాటు చర్యలను ముసుగు చేయడంపై ఎక్కువ దృష్టిని చూపుతుంది. కొన్ని వివరాలు వైట్ రాబిట్ మరియు FIN8 అని పిలువబడే APT సమూహం మధ్య సంబంధాన్ని చూపుతాయని గమనించాలి.

తెల్ల కుందేలు వివరాలు

దాడిని విశ్లేషించిన తర్వాత, ఇన్ఫోసెక్ నిపుణులు కోబాల్ట్ స్ట్రైక్ ఉపయోగించడం ద్వారా లక్షిత వ్యవస్థలకు వైట్ రాబిట్ మోహరించబడిందని సంకేతాలను గమనించారు, ఇది ఒక చట్టబద్ధమైన వ్యాప్తి-పరీక్షా సాధనం, ఇది దాని విస్తృతమైన లక్షణాల కారణంగా చాలా తరచుగా హానికరమైన దాడులలో భాగంగా ఉంటుంది. అసలైన వైట్ రాబిట్ పేలోడ్ బైనరీ అనేది ఒక చిన్న ఫైల్, దాదాపు 100KB, అది గుర్తించదగిన స్ట్రింగ్‌లు లేదా కార్యాచరణను చూపదు.

దాని విధ్వంసక సామర్థ్యాలను అన్‌లాక్ చేయడానికి, వైట్ రాబిట్‌కి నిర్దిష్ట కమాండ్-లైన్ పాస్‌వర్డ్ అవసరం. తర్వాత, ముప్పు దాని అంతర్గత కాన్ఫిగరేషన్‌ని డీక్రిప్ట్ చేయవచ్చు మరియు దాని ఎన్‌క్రిప్షన్ రొటీన్‌ని అమలు చేయడం ప్రారంభించవచ్చు. ransomware ముప్పు ద్వారా ఈ నిర్దిష్ట సాంకేతికతను ఉపయోగించడం ఇదే మొదటిసారి కాదు, ఇంతకుముందు Egregor ransomware కుటుంబం దాని హానికరమైన చర్యలను దాచడానికి దీనిని ఉపయోగించింది.

ఎన్క్రిప్షన్ ప్రక్రియ మరియు డిమాండ్లు

వైట్ రాబిట్ విస్తృత శ్రేణి ఫైల్ రకాలను లక్ష్యంగా చేసుకుంటుంది మరియు లాక్ చేయబడిన ప్రతి ఫైల్‌కు ఒకే విధమైన విమోచన గమనిక సందేశంతో టెక్స్ట్ ఫైల్‌ను సృష్టిస్తుంది. టెక్స్ట్ ఫైల్‌ల పేర్లు '.scrypt.txt.'తో అనుబంధించబడిన సంబంధిత ఫైల్ పేరు కలయిక. దాని ఎన్‌క్రిప్షన్ ప్రాసెస్‌కు ఆటంకం కలగకుండా చూసుకోవడానికి, మాల్వేర్ వ్యతిరేక ఉత్పత్తులకు సంబంధించిన నిర్దిష్ట ప్రక్రియలు మరియు సేవలను ముప్పు రద్దు చేయగలదు. వైట్ రాబిట్ కూడా ముఖ్యమైన మార్గాలు మరియు డైరెక్టరీలలోని ఫైల్‌లను దాటవేయడం ద్వారా ఏదైనా సిస్టమ్ క్రాష్‌లు లేదా క్లిష్టమైన లోపాలను నివారించడానికి ప్రయత్నిస్తుంది. కొన్ని ఉదాహరణలు \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ , మరియు మరిన్ని.

వైట్ రాబిట్ డబుల్ దోపిడీ పథకాన్ని నడుపుతున్నట్లు రాన్సమ్ నోట్ చూపిస్తుంది. ఫైల్‌లు లాక్ చేయబడే ముందు, హ్యాకర్లు కీలకమైన ప్రైవేట్ డేటాను విజయవంతంగా దొంగిలించారని పేర్కొన్నారు. బాధితులకు సైబర్ నేరగాళ్లతో సంబంధాన్ని ఏర్పరచుకోవడానికి 4 రోజుల సమయం ఇవ్వబడుతుంది లేదా దొంగిలించబడిన సమాచారం ప్రజలకు విడుదల చేయబడుతుంది లేదా పోటీ సంస్థలకు విక్రయించబడుతుంది. అవసరమైన డిక్రిప్షన్ కీ కూడా తొలగించబడుతుంది, లాక్ చేయబడిన అన్ని ఫైల్‌ల పునరుద్ధరణ అసాధ్యం.

FIN8కి కనెక్షన్

FIN8 APT సమూహం ప్రధానంగా సైబర్‌స్పియోనేజ్, చొరబాటు మరియు నిఘా కార్యకలాపాలలో పాల్గొంటుంది. వైట్ రాబిట్ ransomware ముప్పుతో సమూహాన్ని లింక్ చేసే నిర్దిష్ట వివరాలు ఉన్నాయి. Lodestone నుండి పరిశోధకులు చెప్పినట్లుగా, వైట్ రాబిట్ దాడిలో భాగంగా కనిపించే హానికరమైన URL గతంలో FIN8 సమూహానికి సంబంధించినది. అదనంగా, వైట్ రాబిట్ FIN8 యొక్క హానికరమైన సాధనాల ఆర్సెనల్‌లో భాగంగా పరిగణించబడే బ్యాక్‌డోర్ అయిన Badhatch యొక్క సంస్కరణను ఉపయోగిస్తుందని వారి పరిశోధనలు చూపిస్తున్నాయి. వైట్ రాబిట్ మరియు FIN8 మధ్య కనెక్షన్‌లు ప్రమాదవశాత్తూ ఉంటే లేదా సమూహం వాస్తవానికి దాని కార్యకలాపాలను విస్తరిస్తున్నట్లయితే మరియు ransomware దృశ్యంలోకి ప్రవేశిస్తున్నట్లయితే చూడవలసి ఉంటుంది.