Yeni Beyaz Tavşan Fidye Yazılımı Türünün Egregor ile Olası Bağları Var
Güvenlik araştırmacıları, yeni bir fidye yazılımı türü hakkında yakın zamanda bir rapor yayınladı. Yeni fidye yazılımı kendi ailesinin bir üyesidir ve fidye notunda görünen sevimli ASCII tavşanından sonra Beyaz Tavşan olarak adlandırılmıştır. Fidye yazılımının, APT8 olarak bilinen gelişmiş kalıcı tehdit aktörü ile ilgili olduğuna inanılıyor.
APT8, 2018'den beri faaliyet gösteren ve restoran, konaklama ve perakende sektörlerindeki işletmelere yönelik fidye yazılımı saldırıları başlatan tehdit ortamındaki finansal olarak motive edilmiş APT'lerden biridir.
İçindekiler
Beyaz Tavşan ve Egregor Arasındaki Benzerlikler
Güvenlik firması Trend Micro, yeni White Rabbit fidye yazılımı hakkında bir rapor yayınladı ve yeni tür ile önceden bilinen Egregor fidye yazılımı arasındaki bazı benzerlikleri özetledi. İki fidye yazılımı türünün, iki farklı aile olarak sınıflandırılacak kadar farklı olmalarına rağmen, izlerini gizleme ve tespitten kaçınmaya çalışma biçimlerine gelince, çok benzer yöntemlere ve yaklaşımlara sahiptir.
Beyaz Tavşan ilk olarak birkaç ay önce, Noel 2021'den hemen önce daha ayrıntılı olarak incelendi. Bağımsız araştırmacı Michael Gillespie, Beyaz Tavşan'ın tam fidye notunun ekran görüntülerini ve şifrelenmiş için kullanılan uzantıyı gösteren birkaç örnek şifreli dosyayı içeren bir Twitter gönderisi yayınladı. Dosyalar.
Beyaz Tavşan Çifte Gasp İçin Gidiyor
White Rabbit fidye yazılımı çifte gasp için kullanılıyor - konu fidye yazılımı saldırıları olduğunda neredeyse norm haline gelen bir yöntem. Fidye notu, fidye ödenmezse bilgisayar korsanlarının hassas sızdırılmış bilgileri yayınlayacakları tehdidinde bulunuyor. Geçen yıl boyunca, çifte şantaj o kadar yaygınlaştı ki, yeni bir tehdit aktörü bunun için başarısız olursa, bu neredeyse tuhaf bir istisna.
White Rabbit'in yükünün analizi, fidye yazılımının ilk yükünün şifrelendiğini ve son yükün dahili yapılandırmasının şifresini çözmek için bir parola dizesi kullanması gerektiğini gösterdi. Araştırmacılar tarafından analiz edilen örnekte, bu dahili şifre çözme işlemi için kullanılan şifre dizisi "KissMe" idi. Egregor fidye yazılımı, kendi kötü niyetli etkinliğini gizlemek için çok benzer şaşırtma teknikleri kullandı ve bu da iki fidye yazılımı ailesi arasında olası bir bağlantı kurulmasına yol açtı.
Ek olarak, Beyaz Tavşan tarafından kullanılan bazı teknikler ve yöntemler, APT8 olarak bilinen tehdit aktörünün metodolojisine çok benzer.
Her Yerde Fidye Notları!
Teknik düzeyde, White Rabbit inanılmaz derecede yenilikçi bir şey yapmıyor. Fidye yazılımı, genel sistem kararlılığını tehlikeye atabilecek klasör ve dosyalardan kaçınırken hedef sistemdeki dosyaları şifreler. Sistem sürücülerini, Windows işletim sistemi dosyalarını ve Program Dosyaları altında kurulu yazılımları içeren dizinler bozulmadan tutulur. Diğer tüm kullanıcı dosyaları şifrelenir ve şifrelenmiş dosyalara .scrypt uzantısı eklenir. Fidye yazılımı ayrıca fidye notunu şifrelenmiş her dosyanın üzerine bırakarak filename.ext.scrypt.txt adlı fidye notları üretir.