Új White Rabbit Ransomware, amelyet valószínűleg a FIN8 APT üzemeltet
A biztonsági kutatók egy új zsarolóvírus-változatot fedeztek fel, amely a saját családjához tartozik. A zsarolóprogram a White Rabbit nevet kapta, és feltehetően kapcsolatban áll az APT8 néven ismert, fejlett, állandó fenyegetésekkel.
Az APT8 a pénzügyileg motivált APT jelölése, amelyet először 2018-ban észleltek, és amely támadásokat indított a kiskereskedelmi és vendéglátóipari szervezetek ellen.
A Trend Mirco White Rabbit ransomware-ről szóló jelentése szerint az új törzs némi hasonlóságot mutat a régebbi Egregor ransomware-rel, ami a nyomok elfedését és az észrevétlen maradást illeti.
Első észlelések és vizsgálat
A White Rabbit tevékenységének első észlelése 2021. december közepére nyúlik vissza. Ugyanazon a napon, amikor a Lodestone biztonsági cég cikket publikált a White Rabbitről, Michael Gillespie független biztonsági kutató is közzétett Twitter-fiókjában egy bejegyzést a White Rabbitről. Gillespie bejegyzése tartalmazta a ransomware feljegyzését is, amely minden egyes titkosított fájl mellé került, valamint a váltságdíjat kérő szöveges fájlban található miniatűr ASCII-art nyúlra.
A váltságdíj-levél arra törekszik, hogy az áldozatot a klasszikus kettős zsarolás forgatókönyvére ijessze. A White Rabbit azt állítja, hogy az áldozat adatait nem csak titkosították, hanem kiszivárogtatták is, és kiszivárogtatják, ha nem fizetik ki a váltságdíjat.
A Trend Micro azt is észrevette, hogy az általuk elemzett White Rabbit példány a "KissMe" jelszót használta a rakomány belső konfigurációjának visszafejtésére és a tényleges zsarolóvírus elindítására. Nagyon hasonló módszert alkalmaztak az Egregor ransomware mintái, amelyeket a kutatók évekkel ezelőtt elemeztek.
Annak ellenére, hogy a kutatók nem teljesen biztosak abban, hogy a White Rabbit-et a FIN8 APT üzemelteti, számos hasonló felderítési és beszivárgási technikát és módszert használnak a White Rabbit és a korábbi FIN8 támadások.
A titkosítás módszerei
Amikor a White Rabbit fájlokat titkosít, minden titkosított fájlhoz hozzáfűzi a .scrypt kiterjesztést, majd minden titkosított fájlhoz eldob egy második példányt .scrypt.txt kiterjesztéssel. A ransomware elkerüli a fontos rendszerkönyvtárakat, hogy lehetővé tegye a célrendszer normális működését. A White Rabbit által nem érintett mappák közé tartozik a Windows mappa és mindkét Program Files mappa. A potenciálisan rendszer-illesztőprogramokhoz tartozó fájlok szintén nincsenek titkosítva.