แรนซัมแวร์กระต่ายขาว

ย้อนกลับไปในเดือนธันวาคม ก่อนสิ้นปี 2564 แรนซัมแวร์ตระกูลใหม่ปรากฏตัวขึ้นบนแนวอาชญากรรมทางอินเทอร์เน็ตเพื่อโจมตีธนาคารสหรัฐ ค้นพบโดยนักวิจัยที่ Trend Micro และถูกโจมตีในฐานะแรนซัมแวร์ White Rabbit ภัยคุกคามดังกล่าวแสดงคุณลักษณะที่ปรับใช้อย่างสมบูรณ์หลายอย่างของมัลแวร์สมัยใหม่ประเภทนี้ แม้ว่ารูทีนการเข้ารหัสของ White Rabbit นั้นค่อนข้างไม่ซับซ้อน แต่ก็แสดงให้เห็นถึงการให้ความสำคัญกับการปิดบังการกระทำที่ล่วงล้ำมากขึ้น ควรสังเกตว่ารายละเอียดบางอย่างแสดงความเชื่อมโยงระหว่าง White Rabbit และกลุ่ม APT ที่เรียกว่า FIN8

รายละเอียดกระต่ายขาว

หลังจากวิเคราะห์การโจมตี ผู้เชี่ยวชาญของ Infosec สังเกตเห็นสัญญาณว่า White Rabbit ถูกนำไปใช้กับระบบเป้าหมายผ่านการใช้ Cobalt Strike ซึ่งเป็นเครื่องมือทดสอบการเจาะที่ถูกกฎหมายซึ่งพบว่าตัวเองเป็นส่วนหนึ่งของการโจมตีที่ประสงค์ร้ายบ่อยครั้งเนื่องจากคุณสมบัติที่กว้างขวาง ไบนารีเพย์โหลดของ White Rabbit จริงเป็นไฟล์ขนาดค่อนข้างเล็ก ประมาณ 100KB ที่ไม่แสดงสตริงหรือกิจกรรมใดๆ ที่เห็นได้ชัดเจน

เพื่อปลดล็อกความสามารถในการทำลายล้าง White Rabbit ต้องใช้รหัสผ่านบรรทัดคำสั่งเฉพาะ หลังจากนั้น ภัยคุกคามสามารถถอดรหัสการกำหนดค่าภายในและเริ่มดำเนินการรูทีนการเข้ารหัสได้ นี่ไม่ใช่ครั้งแรกที่เทคนิคพิเศษนี้ถูกใช้โดยภัยคุกคามจากแรนซัมแวร์ ก่อนหน้านี้กลุ่มแรนซัมแวร์ Egregor ใช้เพื่อซ่อนการกระทำที่เป็นอันตราย

กระบวนการเข้ารหัสและความต้องการ

White Rabbit กำหนดเป้าหมายไฟล์หลายประเภทและสร้างไฟล์ข้อความที่มีข้อความบันทึกค่าไถ่เหมือนกันสำหรับไฟล์ที่ถูกล็อคแต่ละไฟล์ ชื่อของไฟล์ข้อความเป็นการรวมกันของชื่อของไฟล์ที่เกี่ยวข้องซึ่งต่อท้ายด้วย '.scrypt.txt' เพื่อให้แน่ใจว่ากระบวนการเข้ารหัสจะไม่ถูกขัดขวาง ภัยคุกคามจึงสามารถยุติกระบวนการและบริการที่เฉพาะเจาะจงได้ เช่น กระบวนการที่เป็นของผลิตภัณฑ์ป้องกันมัลแวร์ White Rabbit ยังพยายามหลีกเลี่ยงการทำให้ระบบขัดข้องหรือข้อผิดพลาดร้ายแรงด้วยการข้ามไฟล์ในเส้นทางและไดเรกทอรีที่สำคัญ ตัวอย่างบางส่วน ได้แก่ \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ , และอื่นๆ

หมายเหตุเรียกค่าไถ่แสดงให้เห็นว่า White Rabbit กำลังใช้แผนการกรรโชกสองครั้ง ก่อนที่ไฟล์จะถูกล็อค แฮกเกอร์อ้างว่าสามารถขโมยข้อมูลส่วนตัวที่สำคัญได้สำเร็จ เหยื่อจะได้รับ 4 วันในการติดต่อกับอาชญากรไซเบอร์ มิฉะนั้นข้อมูลที่ถูกขโมยจะถูกเปิดเผยต่อสาธารณะหรือเสนอขายให้กับองค์กรที่แข่งขันกัน คีย์ถอดรหัสที่จำเป็นจะถูกลบออกด้วย ทำให้ไม่สามารถกู้คืนไฟล์ที่ถูกล็อคทั้งหมดได้

การเชื่อมต่อกับ FIN8

กลุ่ม FIN8 APT มีส่วนเกี่ยวข้องกับการจารกรรมทางอินเทอร์เน็ต การแทรกซึม และการลาดตระเวนเป็นหลัก มีรายละเอียดบางอย่างที่เชื่อมโยงกลุ่มกับภัยคุกคามแรนซัมแวร์ White Rabbit ตามที่นักวิจัยจาก Lodestone ระบุ URL ที่เป็นอันตรายซึ่งเป็นส่วนหนึ่งของการโจมตี White Rabbit นั้นเคยเกี่ยวข้องกับกลุ่ม FIN8 นอกจากนี้ ผลการวิจัยของพวกเขายังแสดงให้เห็นว่า White Rabbit กำลังใช้ Badhatch เวอร์ชันหนึ่ง ซึ่งเป็นแบ็คดอร์ที่ถือว่าเป็นส่วนหนึ่งของคลังแสงเครื่องมือที่เป็นอันตรายของ FIN8 หากการเชื่อมต่อระหว่าง White Rabbit และ FIN8 เกิดขึ้นโดยบังเอิญหรือกลุ่มกำลังขยายกิจกรรมและเข้าสู่ฉาก ransomware จริง ๆ