新的白兔勒索軟件可能由 FIN8 APT 運行

安全研究人員發現了一個屬於自己家族的新勒索軟件變種。該勒索軟件被命名為 White Rabbit，據信與稱為 APT8 的高級持續威脅參與者有關。

APT8 是出於經濟動機的 APT 的代號，該 APT 於 2018 年首次被發現，並對零售和酒店行業的組織發起攻擊。

根據 Trend Mirco 關於 White Rabbit 勒索軟件的報告，在掩蓋其踪跡和不被發現方面，新菌株與舊的 Egregor 勒索軟件有一些相似之處。

首次檢測和檢查

對白兔活動的首次檢測可以追溯到 2021 年 12 月中旬。就在安全公司 Lodestone 發表關於白兔的文章的同一天，獨立安全研究員邁克爾·吉萊斯皮（Michael Gillespie）也在他的推特賬戶上發表了一篇關於白兔的帖子。 Gillespie 的帖子還包括勒索軟件的註釋，與每個加密文件一起放置，以及勒索註釋文本文件中包含的微型 ASCII 藝術兔子。

勒索信試圖將受害者嚇到經典的雙重勒索場景。白兔聲稱，受害者的數據不僅被加密，而且還被洩露，如果不支付贖金就會被洩露。

趨勢科技還發現，他們分析的白兔實例使用密碼“KissMe”來解密有效載荷的內部配置並啟動實際的勒索軟件。研究人員多年前分析的 Egregor 勒索軟件樣本使用了一種非常相似的方法。

儘管研究人員並不完全確定 White Rabbit 是由 FIN8 APT 操作的，但 White Rabbit 和過去的 FIN8 攻擊之間存在許多類似的偵察和滲透技術和方法。

加密方法

當 White Rabbit 加密文件時，它會將 .scrypt 擴展名附加到每個加密文件，然後為每個加密文件刪除一個擴展名為 .scrypt.txt 的第二個實例。勒索軟件避開重要的系統目錄，以使目標系統正常運行。 White Rabbit 未觸及的文件夾包括 Windows 文件夾和 Program Files 文件夾。可能屬於系統驅動程序的文件也未加密。