White Rabbit Ransomware

早在 12 月，也就是 2021 年底之前，一个新的勒索软件家族在针对美国银行的攻击中出现在网络犯罪领域。该威胁由 Trend Micro 的研究人员发现并被称为 White Rabbit 勒索软件，它显示了此类现代恶意软件的多个完全实现的特征。虽然 White Rabbit 的加密程序相当简单，但它显示出越来越注重掩盖其侵入性行为。应该注意的是，某些细节显示了 White Rabbit 和称为 FIN8 的 APT 组织之间的联系。

白兔详细信息

在分析攻击后，信息安全专家注意到白兔通过使用 Cobalt Strike 部署到目标系统的迹象，Cobalt Strike 是一种合法的渗透测试工具，由于其广泛的功能，它经常发现自己成为恶意攻击的一部分。实际的 White Rabbit 有效载荷二进制文件是一个相当小的文件，大约 100KB，没有显示任何明显的字符串或活动。

为了解锁其破坏能力，White Rabbit 需要一个特定的命令行密码。之后，威胁可以解密其内部配置并开始执行其加密程序。这不是勒索软件威胁第一次使用这种特殊技术，之前 Egregor 勒索软件家族利用它来隐藏其恶意行为。

加密过程及要求

White Rabbit 针对各种文件类型，并为每个锁定的文件创建一个带有相同赎金信息的文本文件。文本文件的名称是相关文件名称加上“.scrypt.txt”的组合。为了确保其加密过程不受阻碍，该威胁能够终止特定的进程和服务，例如属于反恶意软件产品的那些。 White Rabbit 还试图通过跳过重要路径和目录中的文件来避免导致任何系统崩溃或严重错误。一些示例包括\desktop.ini、c:\programdata\、:\windows\、%User Temp%\、:\programfiles\等。

赎金记录显示，白兔正在实施双重勒索计划。在文件被锁定之前，黑客声称已经成功窃取了重要的私人数据。受害者有 4 天的时间与网络犯罪分子建立联系，否则被盗信息将向公众发布或出售给竞争组织。必要的解密密钥也将被删除，从而无法恢复所有锁定的文件。

连接到 FIN8

FIN8 APT 小组主要参与网络间谍、渗透和侦察行动。有一些细节将该组织与白兔勒索软件威胁联系起来。正如 Lodestone 的研究人员所说，被视为 White Rabbit 攻击一部分的恶意 URL 以前与 FIN8 组织有关。此外，他们的调查结果表明，White Rabbit 正在使用 Badhatch 的一个版本，该后门被认为是 FIN8 恶意工具库的一部分。如果白兔与FIN8之间的联系是偶然的，或者该组织实际上正在扩大其活动并进入勒索软件场景，还有待观察。