新的白兔勒索軟件菌株可能與 Egregor 有聯繫
安全研究人員最近發布了一份關於新型勒索軟件的報告。新的勒索軟件是它自己家族的一員,被稱為白兔,以出現在勒索信中的可愛 ASCII 兔子命名。該勒索軟件被認為與稱為 APT8 的高級持續威脅參與者有關。
APT8 是威脅領域中出於財務動機的 APT 之一,該 APT 自 2018 年以來一直很活躍,並對餐廳、酒店和零售行業的企業發起了勒索軟件攻擊。
目錄
白兔和Egregor之間的相似之處
安全公司趨勢科技發布了一份關於新白兔勒索軟件的報告,並概述了新菌株與之前已知的 Egregor 勒索軟件之間的一些相似之處。這兩種勒索軟件在隱藏其踪跡和試圖避免被發現的方式方面有一些非常相似的方法和方法,儘管它們的差異足以被歸類為兩個不同的家族。
幾個月前,就在 2021 年聖誕節前夕,白兔首次進行了更詳細的檢查。獨立研究員邁克爾·吉萊斯皮(Michael Gillespie)發表了一篇 Twitter 帖子,其中包含白兔的完整贖金記錄和幾個示例加密文件的截圖,展示了用於加密的擴展名文件。
白兔雙雙敲詐
White Rabbit 勒索軟件用於雙重勒索 - 這種方法幾乎已成為勒索軟件攻擊的常態。贖金票據威脅說,如果不支付贖金,黑客將發布敏感的洩露信息。在過去的一年裡,雙重勒索變得如此普遍,以至於如果一個新的威脅行為者沒有採取行動,這幾乎是一個奇怪的例外。
對白兔payload的分析表明,勒索軟件的初始payload是加密的,需要使用密碼字符串來解密最終payload的內部配置。在研究人員分析的樣本中,用於內部解密過程的密碼字符串是“KissMe”。 Egregor 勒索軟件使用非常相似的混淆技術來隱藏自己的惡意活動,這導致在兩個勒索軟件系列之間建立了可能的聯繫。
此外,White Rabbit 使用的一些技術和方法與被稱為 APT8 的威脅行為者的方法非常相似。
贖金票據無處不在!
在技術層面上,白兔並沒有做任何令人難以置信的創新。勒索軟件會加密目標系統上的文件,同時避免任何可能危及整體系統穩定性的文件夾和文件。 Program Files 下包含系統驅動程序、Windows 操作系統文件和已安裝軟件的目錄保持不變。所有其他用戶文件都被加密,並且 .scrypt 擴展名被添加到加密文件中。勒索軟件還會在每個加密文件中放置勒索記錄,生成名為 filename.ext.scrypt.txt 的勒索記錄。