FIN8APTによって実行される可能性のある新しいホワイトラビットランサムウェア
セキュリティ研究者は、独自のファミリに属する新しいランサムウェアの亜種を発見しました。ランサムウェアはWhiteRabbitという名前で、APT8として知られる高度な持続的脅威アクターと関係があると考えられています。
APT8は、2018年に最初に発見され、小売業界およびホスピタリティ業界の組織に対する攻撃を開始した、経済的に動機付けられたAPTに与えられた指定子です。
WhiteRabbitランサムウェアに関するTrendMircoのレポートによると、新しい株は、そのトラックをカバーし、検出されないままでいるという点で、古いEgregorランサムウェアといくつかの類似点を共有しています。
最初の検出と検査
White Rabbitの活動が最初に検出されたのは、2021年12月中旬にさかのぼります。セキュリティ会社LodestoneがWhite Rabbitに関する記事を公開したのと同じ日に、独立したセキュリティ研究者のMichaelGillespieも彼のTwitterアカウントにWhiteRabbitに関する投稿を公開しました。 Gillespieの投稿には、身代金メモのテキストファイルに含まれているミニチュアASCIIアートのウサギと一緒に、暗号化されたすべてのファイルと一緒にドロップされたランサムウェアのメモも含まれていました。
身代金メモは、被害者を怖がらせて古典的な恐喝シナリオに陥らせるように努めています。 White Rabbitは、被害者のデータが暗号化されているだけでなく、盗み出されており、身代金が支払われない場合は漏洩すると主張しています。
トレンドマイクロはまた、分析したWhite Rabbitのインスタンスが、パスワード「KissMe」を使用してペイロードの内部構成を復号化し、実際のランサムウェアを起動したことを発見しました。研究者が数年前に分析したEgregorランサムウェアのサンプルでも、非常によく似た方法が使用されました。
ホワイトラビットがFIN8APTによって操作されていることを研究者が完全に確信しているわけではありませんが、ホワイトラビットと過去のFIN8攻撃の間で共有されている、偵察と潜入の同様の手法と方法がいくつかあります。
暗号化の方法
White Rabbitはファイルを暗号化するときに、スクランブルされた各ファイルに.scrypt拡張子を追加し、暗号化された各ファイルの.scrypt.txt拡張子を持つ2番目のインスタンスを削除します。ランサムウェアは、ターゲットシステムが正常に機能できるようにするために、重要なシステムディレクトリを回避します。 White Rabbitがアクセスしないフォルダーには、Windowsフォルダーと両方のProgramFilesフォルダーが含まれます。システムドライバに属する可能性のあるファイルも暗号化されません。