White Rabbit Ransomware

早在 12 月，也就是 2021 年底之前，一個新的勒索軟件家族出現在網絡犯罪領域，針對一家美國銀行的攻擊。該威脅由 Trend Micro 的研究人員發現並被稱為 White Rabbit 勒索軟件，它顯示了此類現代惡意軟件的多個完全實現的特徵。雖然 White Rabbit 的加密程序相當簡單，但它顯示出越來越注重掩蓋其侵入性行為。應該注意的是，某些細節顯示了 White Rabbit 和稱為 FIN8 的 APT 組織之間的聯繫。

白兔詳細信息

在分析攻擊後，信息安全專家注意到白兔通過使用 Cobalt Strike 部署到目標系統的跡象，Cobalt Strike 是一種合法的滲透測試工具，由於其廣泛的功能，它經常發現自己成為惡意攻擊的一部分。實際的 White Rabbit 有效載荷二進製文件是一個相當小的文件，大約 100KB，沒有顯示任何明顯的字符串或活動。

為了解鎖其破壞性能力，White Rabbit 需要一個特定的命令行密碼。之後，威脅可以解密其內部配置並開始執行其加密程序。這不是勒索軟件威脅第一次使用這種特殊技術，之前 Egregor 勒索軟件家族利用它來隱藏其惡意行為。

加密過程及要求

白兔針對各種文件類型，並為每個鎖定的文件創建一個帶有相同贖金信息的文本文件。文本文件的名稱是相關文件名稱加上“.scrypt.txt”的組合。為了確保其加密過程不受阻礙，威脅能夠終止特定的進程和服務，例如屬於反惡意軟件產品的那些。 White Rabbit 還試圖通過跳過重要路徑和目錄中的文件來避免導致任何系統崩潰或嚴重錯誤。一些示例包括\desktop.ini、c:\programdata\、:\windows\、%User Temp%\、:\programfiles\等。

贖金記錄顯示，白兔正在實施雙重勒索計劃。在文件被鎖定之前，黑客聲稱已經成功竊取了重要的私人數據。受害者有 4 天的時間與網絡犯罪分子建立聯繫，否則被盜信息將向公眾發布或出售給競爭組織。必要的解密密鑰也將被刪除，無法恢復所有鎖定的文件。

連接到 FIN8

FIN8 APT 小組主要參與網絡間諜、滲透和偵察行動。有一些細節將該組織與白兔勒索軟件威脅聯繫起來。正如 Lodestone 的研究人員所說，被視為 White Rabbit 攻擊一部分的惡意 URL 以前與 FIN8 組織有關。此外，他們的調查結果表明，White Rabbit 正在使用 Badhatch 的一個版本，該後門被認為是 FIN8 惡意工具庫的一部分。白兔與FIN8之間的聯繫是否是偶然的，或者該組織實際上正在擴大其活動並進入勒索軟件場景還有待觀察。