新的白兔勒索软件可能由 FIN8 APT 运行

安全研究人员发现了一个属于自己家族的新勒索软件变种。该勒索软件被命名为 White Rabbit，据信与称为 APT8 的高级持续威胁参与者有关。

APT8 是一个具有经济动机的 APT 的代号，该 APT 于 2018 年首次被发现，并对零售和酒店行业的组织发起攻击。

根据 Trend Mirco 关于 White Rabbit 勒索软件的报告，在掩盖其踪迹和不被发现方面，新菌株与旧的 Egregor 勒索软件有一些相似之处。

首次检测和检查

对白兔活动的首次检测可以追溯到 2021 年 12 月中旬。就在安全公司 Lodestone 发表关于白兔的文章的同一天，独立安全研究员迈克尔·吉莱斯皮（Michael Gillespie）也在他的推特账户上发表了一篇关于白兔的帖子。 Gillespie 的帖子还包括勒索软件的注释，与每个加密文件一起放置，以及勒索注释文本文件中包含的微型 ASCII 艺术兔子。

勒索信试图将受害者吓到经典的双重勒索场景。白兔声称，受害者的数据不仅被加密，而且还被泄露，如果不支付赎金就会被泄露。

趋势科技还发现，他们分析的白兔实例使用密码“KissMe”来解密有效负载的内部配置并启动实际的勒索软件。研究人员多年前分析的 Egregor 勒索软件样本使用了一种非常相似的方法。

尽管研究人员并不完全确定 White Rabbit 是由 FIN8 APT 操作的，但 White Rabbit 和过去的 FIN8 攻击之间存在许多类似的侦察和渗透技术和方法。

加密方法

当 White Rabbit 加密文件时，它会将 .scrypt 扩展名附加到每个加密文件，然后为每个加密文件删除一个扩展名为 .scrypt.txt 的第二个实例。勒索软件避开重要的系统目录，以使目标系统正常运行。 White Rabbit 未触及的文件夹包括 Windows 文件夹和 Program Files 文件夹。可能属于系统驱动程序的文件也未加密。