Νέο White Rabbit Ransomware που εκτελείται πιθανώς από την FIN8 APT

Ερευνητές ασφαλείας εντόπισαν μια νέα παραλλαγή ransomware που ανήκει στη δική του οικογένεια. Το ransomware ονομάστηκε White Rabbit και πιστεύεται ότι έχει συνδέσεις με τον προηγμένο παράγοντα επίμονης απειλής γνωστό ως APT8.

Το APT8 είναι ο χαρακτηρισμός που δόθηκε σε ένα APT με οικονομικά κίνητρα που εντοπίστηκε για πρώτη φορά το 2018 και εξαπέλυσε επιθέσεις εναντίον οργανισμών στον κλάδο του λιανικού εμπορίου και της φιλοξενίας.

Σύμφωνα με την αναφορά του Trend Mirco για το ransomware White Rabbit, το νέο στέλεχος μοιράζεται κάποιες ομοιότητες με το παλαιότερο ransomware Egregor όσον αφορά την κάλυψη των ιχνών του και την παραμονή του απαρατήρητου.

Πρώτες Ανιχνεύσεις και Εξέταση

Οι πρώτες ανιχνεύσεις δραστηριότητας White Rabbit χρονολογούνται στα μέσα Δεκεμβρίου 2021. Την ίδια μέρα που η εταιρεία ασφαλείας Lodestone δημοσίευσε ένα άρθρο για το White Rabbit, ο ανεξάρτητος ερευνητής ασφαλείας Michael Gillespie δημοσίευσε επίσης μια ανάρτηση στο White Rabbit στον λογαριασμό του στο Twitter. Η ανάρτηση του Gillespie περιελάμβανε επίσης τη σημείωση του ransomware, που έπεσε δίπλα σε κάθε κρυπτογραφημένο αρχείο, μαζί με το μικροσκοπικό κουνέλι της τέχνης ASCII που περιλαμβάνεται στο αρχείο κειμένου της σημείωσης λύτρων.

Το σημείωμα λύτρων κάνει μια προσπάθεια να τρομάξει το θύμα στο κλασικό σενάριο του διπλού εκβιασμού. Ο White Rabbit ισχυρίζεται ότι τα δεδομένα του θύματος όχι μόνο έχουν κρυπτογραφηθεί αλλά έχουν επίσης διεισδύσει και θα διαρρεύσουν εάν δεν πληρωθούν τα λύτρα.

Η Trend Micro εντόπισε επίσης ότι η παρουσία του White Rabbit που ανέλυσαν χρησιμοποίησε τον κωδικό πρόσβασης "KissMe" για να αποκρυπτογραφήσει την εσωτερική διαμόρφωση του ωφέλιμου φορτίου και να εκκινήσει το πραγματικό ransomware. Μια πολύ παρόμοια μέθοδος χρησιμοποιήθηκε από δείγματα του ransomware Egregor που οι ερευνητές ανέλυσαν πριν από χρόνια.

Παρόλο που οι ερευνητές δεν είναι απολύτως βέβαιοι ότι το White Rabbit λειτουργεί από το FIN8 APT, υπάρχει ένας αριθμός παρόμοιων τεχνικών και μεθόδων αναγνώρισης και διείσδυσης που μοιράζονται μεταξύ του White Rabbit και των προηγούμενων επιθέσεων FIN8.

Μέθοδοι κρυπτογράφησης

Όταν το White Rabbit κρυπτογραφεί αρχεία, προσθέτει την επέκταση .scrypt σε κάθε κωδικοποιημένο αρχείο και, στη συνέχεια, ρίχνει μια δεύτερη παρουσία με την επέκταση .scrypt.txt για κάθε κρυπτογραφημένο αρχείο. Το ransomware απομακρύνεται από σημαντικούς καταλόγους συστήματος προκειμένου να επιτρέψει στο σύστημα-στόχο να λειτουργεί κανονικά. Οι φάκελοι που δεν αγγίζονται από το White Rabbit περιλαμβάνουν τον φάκελο των Windows και τους δύο φακέλους Program Files. Τα αρχεία που δυνητικά ανήκουν σε προγράμματα οδήγησης συστήματος δεν είναι επίσης κρυπτογραφημένα.