White Rabbit Ransomware
Aralık ayında, 2021'in sonundan hemen önce, bir ABD bankasına yönelik saldırıda siber suç ortamında yeni bir fidye yazılımı ailesi ortaya çıktı. Trend Micro'daki araştırmacılar tarafından keşfedilen ve White Rabbit fidye yazılımı olarak adlandırılan tehdit, bu tür modern kötü amaçlı yazılımların birden çok tam uygulama özelliğini gösteriyor. White Rabbit'in şifreleme rutini oldukça basit olsa da, müdahaleci eylemlerini maskelemeye artan bir odaklanma gösteriyor. Bazı detayların White Rabbit ile FIN8 olarak bilinen APT grubu arasında bir bağlantı gösterdiğine dikkat edilmelidir.
İçindekiler
Beyaz Tavşan Detayları
Saldırıyı analiz ettikten sonra, infosec uzmanları White Rabbit'in hedeflenen sistemlere, kapsamlı özellikleri nedeniyle kendisini sıklıkla kötü niyetli saldırıların bir parçası bulan meşru bir penetrasyon testi aracı olan Cobalt Strike kullanılarak dağıtıldığına dair işaretler fark etti. Gerçek Beyaz Tavşan yükü ikili, oldukça küçük bir dosyadır, 100 KB civarındadır ve belirgin bir dizi veya etkinlik göstermeyen.
Beyaz Tavşan, yıkıcı yeteneklerinin kilidini açmak için belirli bir komut satırı parolası gerektirir. Ardından tehdit, dahili yapılandırmasının şifresini çözebilir ve şifreleme rutinini yürütmeye başlayabilir. Bu, bu özel tekniğin bir fidye yazılımı tehdidi tarafından ilk kez kullanılması değil, daha önce Egregor fidye yazılımı ailesi onu kötü niyetli eylemlerini gizlemek için kullanmıştı.
Şifreleme Süreci ve Talepler
White Rabbit, çok çeşitli dosya türlerini hedefler ve kilitli her dosya için aynı fidye notu mesajı içeren bir metin dosyası oluşturur. Metin dosyalarının adları, '.scrypt.txt' ile eklenen ilgili dosyanın adının birleşimidir. Şifreleme sürecinin engellenmemesini sağlamak için tehdit, kötü amaçlı yazılımdan koruma ürünlerine ait olanlar gibi belirli süreçleri ve hizmetleri sonlandırabilir. White Rabbit ayrıca önemli yol ve dizinlerdeki dosyaları atlayarak herhangi bir sistem çökmesine veya kritik hatalara neden olmaktan kaçınmaya çalışır. Bazı örnekler \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ ve daha fazlasını içerir.
Fidye notu, Beyaz Tavşan'ın çifte gasp planı yürüttüğünü gösteriyor. Dosyalar kilitlenmeden önce, bilgisayar korsanları önemli özel verileri başarıyla çaldıklarını iddia ediyor. Mağdurlara siber suçlularla temas kurmaları için 4 gün süre verilir veya çalınan bilgiler kamuya açıklanır veya rakip kuruluşlara satışa sunulur. Gerekli şifre çözme anahtarı da silinecek ve tüm kilitli dosyaların geri yüklenmesi imkansız hale gelecektir.
FIN8’e bağlantı
FIN8 APT grubu öncelikle siber casusluk, sızma ve keşif operasyonlarında yer alır. Grubu Beyaz Tavşan fidye yazılımı tehdidine bağlayan belirli ayrıntılar var. Lodestone'dan araştırmacıların belirttiği gibi, White Rabbit saldırısının bir parçası olarak görülen kötü niyetli URL, daha önce FIN8 grubuyla ilgiliydi. Ek olarak, bulguları White Rabbit'in FIN8'in kötü niyetli araçlar cephaneliğinin bir parçası olduğu düşünülen bir arka kapı olan Badhatch'ın bir sürümünü kullandığını gösteriyor. White Rabbit ve FIN8 arasındaki bağlantıların tesadüfi olup olmadığı veya grubun faaliyetlerini gerçekten genişletip fidye yazılımı sahnesine girip girmediği henüz belli değil.
