新的白兔勒索軟件可能由 FIN8 APT 運行
安全研究人員發現了一個屬於自己家族的新勒索軟件變種。該勒索軟件被命名為 White Rabbit,據信與稱為 APT8 的高級持續威脅參與者有關。
APT8 是出於經濟動機的 APT 的代號,該 APT 於 2018 年首次被發現,並對零售和酒店行業的組織發起攻擊。
根據 Trend Mirco 關於 White Rabbit 勒索軟件的報告,在掩蓋其踪跡和不被發現方面,新菌株與舊的 Egregor 勒索軟件有一些相似之處。
首次檢測和檢查
對白兔活動的首次檢測可以追溯到 2021 年 12 月中旬。就在安全公司 Lodestone 發表關於白兔的文章的同一天,獨立安全研究員邁克爾·吉萊斯皮(Michael Gillespie)也在他的推特賬戶上發表了一篇關於白兔的帖子。 Gillespie 的帖子還包括勒索軟件的註釋,與每個加密文件一起放置,以及勒索註釋文本文件中包含的微型 ASCII 藝術兔子。
勒索信試圖將受害者嚇到經典的雙重勒索場景。白兔聲稱,受害者的數據不僅被加密,而且還被洩露,如果不支付贖金就會被洩露。
趨勢科技還發現,他們分析的白兔實例使用密碼“KissMe”來解密有效載荷的內部配置並啟動實際的勒索軟件。研究人員多年前分析的 Egregor 勒索軟件樣本使用了一種非常相似的方法。
儘管研究人員並不完全確定 White Rabbit 是由 FIN8 APT 操作的,但 White Rabbit 和過去的 FIN8 攻擊之間存在許多類似的偵察和滲透技術和方法。
加密方法
當 White Rabbit 加密文件時,它會將 .scrypt 擴展名附加到每個加密文件,然後為每個加密文件刪除一個擴展名為 .scrypt.txt 的第二個實例。勒索軟件避開重要的系統目錄,以使目標系統正常運行。 White Rabbit 未觸及的文件夾包括 Windows 文件夾和 Program Files 文件夾。可能屬於系統驅動程序的文件也未加密。