White Rabbit Ransomware

Noong Disyembre, bago ang katapusan ng 2021, isang bagong pamilya ng ransomware ang lumitaw sa landscape ng cybercrime sa isang pag-atake laban sa isang bangko sa US. Natuklasan ng mga mananaliksik sa Trend Micro at na-tack bilang White Rabbit ransomware, ang banta ay nagpapakita ng maramihang ganap na nagpapatupad ng mga katangian ng modernong malware ng ganitong uri. Bagama't medyo hindi kumplikado ang nakagawiang pag-encrypt ng White Rabbit, nagpapakita ito ng mas mataas na pagtuon sa pag-mask sa mga mapanghimasok nitong aksyon. Dapat tandaan na ang ilang mga detalye ay nagpapakita ng koneksyon sa pagitan ng White Rabbit at ng APT group na kilala bilang FIN8.

Mga Detalye ng White Rabbit

Matapos suriin ang pag-atake, napansin ng mga eksperto sa infosec ang mga senyales na ang White Rabbit ay na-deploy sa mga target na system sa pamamagitan ng paggamit ng Cobalt Strike, isang lehitimong tool sa pagsubok ng penetration na madalas na nagiging bahagi ng mga nakakahamak na pag-atake dahil sa malawak na feature nito. Ang aktwal na White Rabbit payload binary ay medyo maliit na file, humigit-kumulang 100KB, na hindi nagpapakita ng anumang mga kapansin-pansing string o aktibidad.

Upang i-unlock ang mga mapanirang kakayahan nito, nangangailangan ang White Rabbit ng isang partikular na command-line na password. Pagkatapos, maaaring i-decrypt ng banta ang panloob na pagsasaayos nito at simulan ang pagpapatupad ng nakagawiang pag-encrypt nito. Hindi ito ang unang pagkakataon na ang partikular na pamamaraan na ito ay ginamit ng isang banta sa ransomware, dati ay ginamit ito ng pamilya ng Egregor ransomware upang itago ang mga malisyosong aksyon nito.

Proseso at Mga Demand ng Encryption

Tina-target ng White Rabbit ang isang malawak na hanay ng mga uri ng file at gumagawa ng isang text file na may kaparehong mensahe ng ransom note para sa bawat naka-lock na file. Ang mga pangalan ng mga text file ay kumbinasyon ng pangalan ng nauugnay na file na nakadugtong sa '.scrypt.txt.' Upang matiyak na ang proseso ng pag-encrypt nito ay hindi nahahadlangan, ang banta ay may kakayahang wakasan ang mga partikular na proseso at serbisyo, tulad ng mga pag-aari ng mga produktong anti-malware. Sinusubukan din ng White Rabbit na iwasang magdulot ng anumang mga pag-crash ng system o kritikal na mga error sa pamamagitan ng paglaktaw sa mga file sa mahahalagang landas at direktoryo. Kasama sa ilang halimbawa ang \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ , at higit pa.

Ang ransom note ay nagpapakita na ang White Rabbit ay nagpapatakbo ng double-extortion scheme. Bago na-lock ang mga file, inaangkin ng mga hacker na matagumpay nilang ninakaw ang mahalagang pribadong data. Ang mga biktima ay binibigyan ng 4 na araw upang makipag-ugnayan sa mga cybercriminal o ang ninakaw na impormasyon ay ilalabas sa publiko o iaalok para ibenta sa mga nakikipagkumpitensyang organisasyon. Ang kinakailangang decryption key ay tatanggalin din, na magiging imposible sa pagpapanumbalik ng lahat ng naka-lock na file.

Koneksyon sa FIN8

Pangunahing kasangkot ang pangkat ng FIN8 APT sa mga operasyong cyberespionage, infiltration, at reconnaissance. Mayroong ilang mga detalye na nag-uugnay sa grupo sa banta ng White Rabbit ransomware. Tulad ng sinabi ng mga mananaliksik mula sa Lodestone, ang nakakahamak na URL na nakita bilang bahagi ng pag-atake ng White Rabbit ay dati nang nauugnay sa pangkat ng FIN8. Bilang karagdagan, ipinapakita ng kanilang mga natuklasan na ang White Rabbit ay gumagamit ng isang bersyon ng Badhatch, isang backdoor na itinuturing na bahagi ng arsenal ng FIN8 ng mga nakakahamak na tool. Kung ang mga koneksyon sa pagitan ng White Rabbit at FIN8 ay hindi sinasadya o ang grupo ay aktwal na nagpapalawak ng mga aktibidad nito at ang pagpasok sa eksena ng ransomware ay nananatiling makikita.