Nowe oprogramowanie ransomware White Rabbit prawdopodobnie uruchamiane przez FIN8 APT

Badacze bezpieczeństwa zauważyli nowy wariant oprogramowania ransomware, który należy do jego własnej rodziny. Ransomware został nazwany White Rabbit i uważa się, że ma powiązania z zaawansowanym, trwałym zagrożeniem znanym jako APT8.

APT8 to desygnator nadawany finansowo motywowanemu APT, który został po raz pierwszy zauważony w 2018 r. i rozpoczął ataki na organizacje z branży detalicznej i hotelarskiej.

Zgodnie z raportem Trend Mirco dotyczącym oprogramowania ransomware White Rabbit, nowy szczep ma pewne podobieństwa ze starszym oprogramowaniem ransomware Egregor, jeśli chodzi o ukrywanie śladów i pozostawanie niewykrytym.

Pierwsze wykrycia i badanie

Pierwsze wykrycia aktywności Białego Królika miały miejsce w połowie grudnia 2021 r. Tego samego dnia, w którym firma Lodestone ochroniarz opublikowała artykuł na temat Białego Królika, niezależny badacz bezpieczeństwa Michael Gillespie opublikował również post na temat Białego Królika na swoim koncie na Twitterze. Post Gillespiego zawierał również notatkę o ransomware, umieszczaną obok każdego zaszyfrowanego pliku, wraz z miniaturowym królikiem ASCII zawartym w pliku tekstowym z żądaniem okupu.

List z okupem ma na celu przestraszenie ofiary w klasyczny scenariusz podwójnego wymuszenia. White Rabbit twierdzi, że dane ofiary zostały nie tylko zaszyfrowane, ale również eksfiltrowane i zostaną ujawnione, jeśli okup nie zostanie zapłacony.

Firma Trend Micro zauważyła również, że analizowana przez nich instancja White Rabbit używała hasła „KissMe” do odszyfrowania wewnętrznej konfiguracji ładunku i uruchomienia samego oprogramowania ransomware. Bardzo podobna metoda została zastosowana przez próbki oprogramowania ransomware Egregor, które badacze przeanalizowali lata temu.

Chociaż naukowcy nie są całkowicie pewni, że White Rabbit jest obsługiwany przez FIN8 APT, istnieje wiele podobnych technik i metod rozpoznania i infiltracji wspólnych dla White Rabbit i poprzednich ataków FIN8.

Metody szyfrowania

Kiedy White Rabbit szyfruje pliki, dodaje rozszerzenie .scrypt do każdego zaszyfrowanego pliku, a następnie odrzuca drugą instancję z rozszerzeniem .scrypt.txt dla każdego zaszyfrowanego pliku. Ransomware omija ważne katalogi systemowe, aby umożliwić normalne działanie systemu docelowego. Foldery, których nie dotyka White Rabbit, obejmują folder Windows i oba foldery Program Files. Pliki, które potencjalnie należą do sterowników systemowych, również nie są szyfrowane.