新的白兔勒索软件可能由 FIN8 APT 运行
安全研究人员发现了一个属于自己家族的新勒索软件变种。该勒索软件被命名为 White Rabbit,据信与称为 APT8 的高级持续威胁参与者有关。
APT8 是一个具有经济动机的 APT 的代号,该 APT 于 2018 年首次被发现,并对零售和酒店行业的组织发起攻击。
根据 Trend Mirco 关于 White Rabbit 勒索软件的报告,在掩盖其踪迹和不被发现方面,新菌株与旧的 Egregor 勒索软件有一些相似之处。
首次检测和检查
对白兔活动的首次检测可以追溯到 2021 年 12 月中旬。就在安全公司 Lodestone 发表关于白兔的文章的同一天,独立安全研究员迈克尔·吉莱斯皮(Michael Gillespie)也在他的推特账户上发表了一篇关于白兔的帖子。 Gillespie 的帖子还包括勒索软件的注释,与每个加密文件一起放置,以及勒索注释文本文件中包含的微型 ASCII 艺术兔子。
勒索信试图将受害者吓到经典的双重勒索场景。白兔声称,受害者的数据不仅被加密,而且还被泄露,如果不支付赎金就会被泄露。
趋势科技还发现,他们分析的白兔实例使用密码“KissMe”来解密有效负载的内部配置并启动实际的勒索软件。研究人员多年前分析的 Egregor 勒索软件样本使用了一种非常相似的方法。
尽管研究人员并不完全确定 White Rabbit 是由 FIN8 APT 操作的,但 White Rabbit 和过去的 FIN8 攻击之间存在许多类似的侦察和渗透技术和方法。
加密方法
当 White Rabbit 加密文件时,它会将 .scrypt 扩展名附加到每个加密文件,然后为每个加密文件删除一个扩展名为 .scrypt.txt 的第二个实例。勒索软件避开重要的系统目录,以使目标系统正常运行。 White Rabbit 未触及的文件夹包括 Windows 文件夹和 Program Files 文件夹。可能属于系统驱动程序的文件也未加密。