新的白兔勒索软件菌株可能与 Egregor 有联系
安全研究人员最近发布了一份关于新型勒索软件的报告。新的勒索软件是它自己家族的一员,被称为白兔,以出现在勒索信中的可爱 ASCII 兔子命名。该勒索软件被认为与称为 APT8 的高级持续威胁参与者有关。
APT8 是威胁领域中出于财务动机的 APT 之一,该 APT 自 2018 年以来一直很活跃,并对餐厅、酒店和零售行业的企业发起了勒索软件攻击。
目录
白兔和Egregor之间的相似之处
安全公司趋势科技发布了一份关于新白兔勒索软件的报告,并概述了新菌株与之前已知的 Egregor 勒索软件之间的一些相似之处。这两种勒索软件在隐藏其踪迹和试图避免被发现的方式方面有一些非常相似的方法和方法,尽管它们的差异足以被归类为两个不同的家族。
几个月前,就在 2021 年圣诞节前夕,白兔首次进行了更详细的检查。独立研究员迈克尔·吉莱斯皮(Michael Gillespie)发表了一篇 Twitter 帖子,其中包含白兔的完整赎金记录和几个示例加密文件的截图,展示了用于加密的扩展名文件。
白兔双双敲诈
White Rabbit 勒索软件用于双重勒索 - 这种方法几乎已成为勒索软件攻击的常态。赎金票据威胁说,如果不支付赎金,黑客将发布敏感的泄露信息。在过去的一年里,双重勒索变得如此普遍,以至于如果一个新的威胁行为者没有采取行动,这几乎是一个奇怪的例外。
对白兔payload的分析表明,勒索软件的初始payload是加密的,需要使用密码字符串来解密最终payload的内部配置。在研究人员分析的样本中,用于内部解密过程的密码字符串是“KissMe”。 Egregor 勒索软件使用非常相似的混淆技术来隐藏自己的恶意活动,这导致在两个勒索软件系列之间建立了可能的联系。
此外,White Rabbit 使用的一些技术和方法与被称为 APT8 的威胁行为者的方法非常相似。
赎金票据无处不在!
在技术层面上,白兔并没有做任何令人难以置信的创新。勒索软件会加密目标系统上的文件,同时避免任何可能危及整体系统稳定性的文件夹和文件。 Program Files 下包含系统驱动程序、Windows 操作系统文件和已安装软件的目录保持不变。所有其他用户文件都被加密,并且 .scrypt 扩展名被添加到加密文件中。勒索软件还会在每个加密文件中放置勒索记录,生成名为 filename.ext.scrypt.txt 的勒索记录。