Új White Rabbit Ransomware, amelyet valószínűleg a FIN8 APT üzemeltet

A biztonsági kutatók egy új zsarolóvírus-változatot fedeztek fel, amely a saját családjához tartozik. A zsarolóprogram a White Rabbit nevet kapta, és feltehetően kapcsolatban áll az APT8 néven ismert, fejlett, állandó fenyegetésekkel.

Az APT8 a pénzügyileg motivált APT jelölése, amelyet először 2018-ban észleltek, és amely támadásokat indított a kiskereskedelmi és vendéglátóipari szervezetek ellen.

A Trend Mirco White Rabbit ransomware-ről szóló jelentése szerint az új törzs némi hasonlóságot mutat a régebbi Egregor ransomware-rel, ami a nyomok elfedését és az észrevétlen maradást illeti.

Első észlelések és vizsgálat

A White Rabbit tevékenységének első észlelése 2021. december közepére nyúlik vissza. Ugyanazon a napon, amikor a Lodestone biztonsági cég cikket publikált a White Rabbitről, Michael Gillespie független biztonsági kutató is közzétett Twitter-fiókjában egy bejegyzést a White Rabbitről. Gillespie bejegyzése tartalmazta a ransomware feljegyzését is, amely minden egyes titkosított fájl mellé került, valamint a váltságdíjat kérő szöveges fájlban található miniatűr ASCII-art nyúlra.

A váltságdíj-levél arra törekszik, hogy az áldozatot a klasszikus kettős zsarolás forgatókönyvére ijessze. A White Rabbit azt állítja, hogy az áldozat adatait nem csak titkosították, hanem kiszivárogtatták is, és kiszivárogtatják, ha nem fizetik ki a váltságdíjat.

A Trend Micro azt is észrevette, hogy az általuk elemzett White Rabbit példány a "KissMe" jelszót használta a rakomány belső konfigurációjának visszafejtésére és a tényleges zsarolóvírus elindítására. Nagyon hasonló módszert alkalmaztak az Egregor ransomware mintái, amelyeket a kutatók évekkel ezelőtt elemeztek.

Annak ellenére, hogy a kutatók nem teljesen biztosak abban, hogy a White Rabbit-et a FIN8 APT üzemelteti, számos hasonló felderítési és beszivárgási technikát és módszert használnak a White Rabbit és a korábbi FIN8 támadások.

A titkosítás módszerei

Amikor a White Rabbit fájlokat titkosít, minden titkosított fájlhoz hozzáfűzi a .scrypt kiterjesztést, majd minden titkosított fájlhoz eldob egy második példányt .scrypt.txt kiterjesztéssel. A ransomware elkerüli a fontos rendszerkönyvtárakat, hogy lehetővé tegye a célrendszer normális működését. A White Rabbit által nem érintett mappák közé tartozik a Windows mappa és mindkét Program Files mappa. A potenciálisan rendszer-illesztőprogramokhoz tartozó fájlok szintén nincsenek titkosítva.