Програма-вимагач White Rabbit
Ще в грудні, незадовго до кінця 2021 року, нова сім’я програм-вимагачів з’явилася в ландшафті кіберзлочинності в результаті атаки на американський банк. Виявлена дослідниками Trend Micro і названа програмним забезпеченням-вимагачем White Rabbit, ця загроза має численні характеристики сучасного шкідливого програмного забезпечення цього типу. Хоча процедура шифрування у White Rabbit є досить нескладною, вона демонструє підвищену увагу до маскування його нав’язливих дій. Слід зазначити, що деякі деталі показують зв’язок між White Rabbit і групою APT, відомою як FIN8.
Зміст
Деталі білого кролика
Проаналізувавши атаку, експерти Infosec помітили ознаки того, що White Rabbit був розгорнутий у цільових системах за допомогою Cobalt Strike, законного інструменту тестування на проникнення, який досить часто буває частиною зловмисних атак завдяки своїм широким можливостям. Фактичний двійковий файл корисного навантаження White Rabbit — це досить маленький файл, близько 100 КБ, який не показує жодних помітних рядків або активності.
Щоб розблокувати свої руйнівні можливості, White Rabbit потрібен певний пароль командного рядка. Після цього загроза може розшифрувати свою внутрішню конфігурацію та почати виконувати свою процедуру шифрування. Це не перший випадок, коли ця конкретна техніка використовується загрозою програм-вимагачів, раніше сімейство програм-вимагачів Egregor використовувало її, щоб приховати свої зловмисні дії.
Процес шифрування та вимоги
White Rabbit орієнтується на широкий діапазон типів файлів і створює текстовий файл з ідентичним повідомленням про викуп для кожного заблокованого файлу. Назви текстових файлів є комбінацією назви пов’язаного файлу, доданого «.scrypt.txt». Щоб гарантувати, що процес шифрування не перешкоджає, загроза може припинити певні процеси та послуги, наприклад ті, що належать до продуктів для захисту від шкідливих програм. White Rabbit також намагається уникнути системних збоїв або критичних помилок, пропускаючи файли у важливих шляхах і каталогах. Деякі приклади включають \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ тощо.
Записка про викуп показує, що Білий Кролик працює за схемою подвійного вимагання. До того, як файли були заблоковані, хакери стверджують, що успішно вкрали важливі приватні дані. Потерпілим дається 4 дні на встановлення контакту з кіберзлочинцями, або вкрадена інформація буде оприлюднена або запропонована для продажу конкуруючим організаціям. Необхідний ключ дешифрування також буде видалено, що зробить неможливим відновлення всіх заблокованих файлів.
Підключення до FIN8
Група FIN8 APT в основному задіяна в кібершпигунстві, інфільтрації та розвідувальних операціях. Є певні деталі, які пов’язують групу із загрозою вимагання White Rabbit. Як стверджують дослідники з Lodestone, шкідлива URL-адреса, яка розглядається як частина атаки White Rabbit, раніше була пов’язана з групою FIN8. Крім того, їхні висновки показують, що White Rabbit використовує версію Badhatch, бекдор, який вважається частиною арсеналу шкідливих інструментів FIN8. Залишається з’ясувати, чи зв’язки між White Rabbit і FIN8 є випадковими, або група насправді розширює свою діяльність і виходить на сцену з програмами-вымогами.
