Новый вирус-вымогатель White Rabbit, возможно, запущен FIN8 APT

Исследователи безопасности обнаружили новый вариант программы-вымогателя, принадлежащий к его собственному семейству. Программа-вымогатель получила название White Rabbit и, как полагают, связана с продвинутым действующим лицом постоянной угрозы, известным как APT8.

APT8 — это обозначение, присвоенное финансово мотивированной APT, которая была впервые обнаружена в 2018 году и начала атаки на организации в сфере розничной торговли и гостиничного бизнеса.

Согласно отчету Trend Mirco о программе-вымогателе White Rabbit, новый штамм имеет некоторое сходство со старой программой-вымогателем Egregor, когда речь идет о том, чтобы замести следы и остаться незамеченным.

Первые обнаружения и обследование

Первые случаи обнаружения активности White Rabbit относятся к середине декабря 2021 года. В тот же день, когда охранная фирма Lodestone опубликовала статью о White Rabbit, независимый исследователь безопасности Майкл Гиллеспи также опубликовал пост о White Rabbit в своем аккаунте в Twitter. Сообщение Гиллеспи также включало заметку о программе-вымогателе, размещенную рядом с каждым зашифрованным файлом, вместе с миниатюрным кроликом в стиле ASCII, включенным в текстовый файл записки о выкупе.

Записка о выкупе пытается напугать жертву до классического сценария двойного вымогательства. White Rabbit утверждает, что данные жертвы были не только зашифрованы, но и украдены, и если выкуп не будет выплачен, они будут утеряны.

Trend Micro также заметила, что экземпляр White Rabbit, который они проанализировали, использовал пароль «KissMe» для расшифровки внутренней конфигурации полезной нагрузки и запуска фактической программы-вымогателя. Очень похожий метод использовался в образцах программы-вымогателя Egregor, которые исследователи проанализировали несколько лет назад.

Несмотря на то, что исследователи не совсем уверены, что White Rabbit управляется APT FIN8, существует ряд схожих методов и методов разведки и проникновения, общих для White Rabbit и прошлых атак FIN8.

Методы шифрования

Когда White Rabbit шифрует файлы, он добавляет расширение .scrypt к каждому зашифрованному файлу, а затем удаляет второй экземпляр с расширением .scrypt.txt для каждого зашифрованного файла. Программа-вымогатель избегает важных системных каталогов, чтобы целевая система могла нормально функционировать. Папки, которые не затрагиваются White Rabbit, включают папку Windows и обе папки Program Files. Файлы, которые потенциально принадлежат системным драйверам, также не шифруются.