White Rabbit Ransomware
Trở lại vào tháng 12, ngay trước khi kết thúc năm 2021, một họ ransomware mới đã xuất hiện trên môi trường tội phạm mạng trong một cuộc tấn công nhằm vào một ngân hàng của Hoa Kỳ. Được phát hiện bởi các nhà nghiên cứu tại Trend Micro và được coi là ransomware White Rabbit, mối đe dọa hiển thị nhiều đặc điểm triển khai đầy đủ của phần mềm độc hại hiện đại thuộc loại này. Mặc dù quy trình mã hóa của White Rabbit khá đơn giản, nhưng nó cho thấy sự tập trung ngày càng nhiều vào việc che giấu các hành động xâm nhập của nó. Cần lưu ý rằng một số chi tiết cho thấy mối liên hệ giữa White Rabbit và nhóm APT được gọi là FIN8.
Mục lục
Chi tiết về Thỏ trắng
Sau khi phân tích cuộc tấn công, các chuyên gia infosec nhận thấy các dấu hiệu cho thấy White Rabbit đã được triển khai tới các hệ thống được nhắm mục tiêu thông qua việc sử dụng Cobalt Strike, một công cụ kiểm tra sự thâm nhập hợp pháp cho thấy bản thân nó là một phần của các cuộc tấn công độc hại khá thường xuyên do các tính năng mở rộng của nó. Tập tin nhị phân tải trọng White Rabbit thực tế là một tệp khá nhỏ, khoảng 100KB, không hiển thị bất kỳ chuỗi hoặc hoạt động đáng chú ý nào.
Để mở khóa khả năng hủy diệt của nó, White Rabbit yêu cầu một mật khẩu dòng lệnh cụ thể. Sau đó, mối đe dọa có thể giải mã cấu hình bên trong của nó và bắt đầu thực hiện quy trình mã hóa của nó. Đây không phải là lần đầu tiên kỹ thuật đặc biệt này được sử dụng bởi một mối đe dọa ransomware, trước đó họ Egregor ransomware đã sử dụng nó để che giấu các hành động độc hại của nó.
Quy trình và nhu cầu mã hóa
White Rabbit nhắm mục tiêu nhiều loại tệp và tạo tệp văn bản với thông báo ghi chú tiền chuộc giống hệt nhau cho mỗi tệp bị khóa. Tên của các tệp văn bản là sự kết hợp của tên của tệp có liên quan được nối với '.scrypt.txt.' Để đảm bảo rằng quy trình mã hóa của nó không bị cản trở, mối đe dọa có khả năng chấm dứt các quy trình và dịch vụ cụ thể, chẳng hạn như các quy trình và dịch vụ thuộc sản phẩm chống phần mềm độc hại. White Rabbit cũng cố gắng tránh gây ra bất kỳ sự cố hệ thống nào hoặc các lỗi nghiêm trọng bằng cách bỏ qua các tệp trong các đường dẫn và thư mục quan trọng. Một số ví dụ bao gồm \ desktop.ini, c: \ programdata \,: \ windows \,% User Temp% \,: \ programfiles \ , và hơn thế nữa.
Thông báo đòi tiền chuộc cho thấy White Rabbit đang thực hiện một âm mưu tống tiền kép. Trước khi các tập tin bị khóa, các tin tặc tuyên bố đã đánh cắp thành công dữ liệu cá nhân quan trọng. Nạn nhân có 4 ngày để thiết lập liên lạc với tội phạm mạng hoặc thông tin bị đánh cắp sẽ được công bố cho công chúng hoặc chào bán cho các tổ chức cạnh tranh. Khóa giải mã cần thiết cũng sẽ bị xóa, khiến cho việc khôi phục tất cả các tệp bị khóa là không thể.
Kết nối với FIN8
Nhóm FIN8 APT chủ yếu tham gia vào các hoạt động gián điệp mạng, xâm nhập và trinh sát. Có một số chi tiết nhất định liên kết nhóm với mối đe dọa ransomware White Rabbit. Như đã nêu bởi các nhà nghiên cứu từ Lodestone, URL độc hại được coi là một phần của cuộc tấn công White Rabbit trước đây có liên quan đến nhóm FIN8. Ngoài ra, phát hiện của họ cho thấy White Rabbit đang sử dụng phiên bản của Badhatch, một cửa hậu được coi là một phần trong kho công cụ độc hại của FIN8. Nếu các kết nối giữa White Rabbit và FIN8 là ngẫu nhiên hoặc nhóm thực sự đang mở rộng hoạt động của mình và xâm nhập vào bối cảnh ransomware vẫn còn được nhìn thấy.
