Nauja „White Rabbit Ransomware“, kurią gali valdyti FIN8 APT

Saugumo tyrinėtojai pastebėjo naują išpirkos reikalaujančios programos variantą, kuris priklauso jos šeimai. Išpirkos reikalaujanti programa buvo pavadinta White Rabbit ir manoma, kad ji yra susijusi su pažangiu nuolatinės grėsmės veikėju, žinomu kaip APT8.

APT8 yra finansiškai motyvuotai APT, kuri pirmą kartą buvo pastebėta 2018 m. ir surengusi atakas prieš mažmeninės prekybos ir svetingumo pramonės organizacijas, pavadinimas.

Remiantis „Trend Mirco“ ataskaita apie „White Rabbit“ išpirkos reikalaujančią programinę įrangą, naujoji padermė turi tam tikrų panašumų su senesne „Egregor“ išpirkos programa, kai reikia uždengti pėdsakus ir likti nepastebėtam.

Pirmieji aptikimai ir tyrimas

Pirmieji baltojo triušio veiklos aptikimai datuojami 2021 m. gruodžio viduryje. Tą pačią dieną, kai saugos įmonė „Lodestone“ paskelbė straipsnį apie „White Rabbit“, nepriklausomas saugumo tyrinėtojas Michaelas Gillespie savo „Twitter“ paskyroje taip pat paskelbė įrašą apie White Rabbit. Gillespie įraše taip pat buvo užrašas dėl išpirkos reikalaujančios programos, numestas kartu su kiekvienu užšifruotu failu, kartu su miniatiūriniu ASCII meno triušiu, įtrauktu į išpirkos užrašo teksto failą.

Išpirkos raštelyje stengiamasi išgąsdinti auką klasikinio dvigubo turto prievartavimo scenarijaus. „White Rabbit“ teigia, kad aukos duomenys buvo ne tik užšifruoti, bet ir išfiltruoti bei bus nutekinti, jei nebus sumokėta išpirka.

„Trend Micro“ taip pat pastebėjo, kad jų išanalizuotas „White Rabbit“ pavyzdys naudojo „KissMe“ slaptažodį, kad iššifruotų vidinę naudingojo krovinio konfigūraciją ir paleistų tikrąją išpirkos reikalaujančią programinę įrangą. Labai panašų metodą naudojo Egregor ransomware pavyzdžiai, kuriuos mokslininkai išanalizavo prieš metus.

Nors mokslininkai nėra visiškai tikri, kad White Rabbit valdo FIN8 APT, yra daug panašių žvalgybos ir įsiskverbimo metodų ir metodų, kuriais dalijasi White Rabbit ir ankstesnės FIN8 atakos.

Šifravimo metodai

Kai „White Rabbit“ užšifruoja failus, jis prideda .scrypt plėtinį prie kiekvieno užšifruoto failo, tada atmeta antrą egzempliorių su .scrypt.txt plėtiniu kiekvienam užšifruotam failui. Išpirkos reikalaujanti programa vengia svarbių sistemos katalogų, kad tikslinė sistema galėtų normaliai veikti. Aplankai, kurių „White Rabbit“ nepaliečia, apima „Windows“ aplanką ir abu aplankus Programos failai. Failai, kurie gali priklausyti sistemos tvarkyklėms, taip pat nėra užšifruoti.