White Rabbit Ransomware naudoja dvigubą prievartavimą, galimas FIN8 ryšys

Kenkėjiškų programų tyrinėtojai aptiko naują aukšto lygio failų šifravimo Trojos arklį. Pirmoji informacija apie jos atakas pasirodė 2021 metų gruodį, kai jai pavyko perimti didelės JAV bankų institucijos tinklą. Atrodo, kad grėsmė, pavadinta „White Rabbit Ransomware“, turi tam tikrų panašumų su „Egregor Ransomware“ šeima. Tačiau mažai tikėtina, kad ta pati nusikaltėlių grupė yra atsakinga už White Rabbit Ransomware.

Kas yra White Rabbit Ransomware?

Tokios failų saugyklos kaip šis veikia šifruodamos duomenis aukos įrenginyje, užtikrindamos, kad jų failai būtų nepasiekiami. Šios konkrečios išpirkos reikalaujančių programų šeimos ypatumas yra tas, kad ji gali veikti tik įvedus slaptažodį. Tai paprastas triukas, kuris apsunkina kenkėjiškų programų tyrinėtojų užduotį. Tačiau tai taip pat gali reikšti, kad nusikaltėliai diegia „White Rabbit Ransomware“ rankiniu būdu, nes norėdami jį paleisti, jie turi įvesti slaptažodį.

Išpirkos reikalaujančios dvejetainės programos dydis taip pat yra neįtikėtinai mažas - tik šiek tiek daugiau nei 100 KB. Ekspertai įtaria, kad krovinys galėjo būti atgabentas padedant anksčiau pasodintam, įskilusiam „Cobalt Strike Beacon“ švyturiui – šio implanto likučių buvo rasta ant užkrėstų mašinų.

Kaip vykdomas išpuolis?

Paleidus, grėsmė pavogs failus ir užšifruos originalias kopijas. Ši dvigubo turto prievartavimo technika tampa įprastu reiškiniu kalbant apie didelio atgarsio grasinimus. Nusikaltėliai grasina slaptą aukos informaciją paviešinti internete, nebent susimokės. Jie taip pat jiems sako, kad originalių failų negalima atkurti, jei nesumokėsite. Deja, nusikaltėlių įspėjimai yra teisingi – šiuo metu nėra galimybės susigrąžinti. Geriausias būdas kovoti su išpirkos reikalaujančių programų atakomis yra imtis prevencinių priemonių, kad būtų užtikrinta, jog jos iš pradžių nepasikartotų. Vienas iš būdų tai pasiekti yra naudoti naujausią saugos programinės įrangos rinkinį.