Недавно в дикой природе появилось новое семейство программ-вымогателей под названием «Белый кролик», и, согласно недавним исследованиям, оно может быть побочной операцией хакерской группы FIN8.
FIN8 — финансово мотивированный актор, который в течение нескольких лет был замечен в нападениях на финансовые организации, в основном за счет развертывания вредоносного ПО для POS-терминалов, которое может красть данные кредитных карт.
Простой инструмент для двойного вымогательства
Первое публичное упоминание о программе-вымогателе White Rabbit было в твите эксперта по программам-вымогателям Майкла Гиллеспи, который искал образец вредоносного ПО.
В новом отчете Trend Micro исследователи анализируют образец программы-вымогателя White Rabbit, полученный во время атаки на банк США в декабре 2021 года.
Исполняемый файл программы-вымогателя представляет собой небольшую полезную нагрузку размером 100 КБ и требует ввода пароля при выполнении командной строки для расшифровки вредоносной полезной нагрузки.
Пароль для выполнения вредоносной полезной нагрузки ранее использовался другими операциями программ-вымогателей, включая Egregor, MegaCortex и SamSam.
После запуска с правильным паролем программа-вымогатель сканирует все папки на устройстве и шифрует целевые файлы, создавая примечания о выкупе для каждого зашифрованного файла.
Например, файл с именем test.txt будет зашифрован как test.txt.scrypt, а примечание о выкупе будет создано с именем test.txt.scrypt.txt.
При шифровании устройства также используются съемные и сетевые диски, при этом системные папки Windows исключаются из шифрования, чтобы предотвратить вывод операционной системы из строя.
Записка о выкупе информирует жертву о том, что ее файлы были похищены, и угрожает опубликовать и/или продать украденные данные, если требования не будут выполнены.
Крайний срок для выплаты выкупа жертвой установлен на четыре дня, после чего субъекты угрожают отправить украденные данные в органы по защите данных, что приводит к штрафам за утечку данных GDPR.
Доказательства украденных файлов загружаются в такие сервисы, как «paste[.]com» и «file[.]io», а жертве предлагается канал общения в чате с действующими лицами на сайте переговоров Tor.
На сайте Tor есть «Главная страница», используемая для отображения доказательств украденных данных, и раздел чата, где жертва может общаться с злоумышленниками и договариваться о требовании выкупа, как показано ниже.
Ссылки на FIN8
Как отмечается в отчете Trend Micro, доказательства связи FIN8 и «Белого кролика» обнаруживаются на этапе развертывания программы-вымогателя.
В частности, новая программа-вымогатель использует невиданную ранее версию Badhatch (также известную как «Sardonic»), бэкдор, связанный с FIN8.
Как правило, эти субъекты хранят свои собственные бэкдоры при себе и продолжают разрабатывать их в частном порядке.
Этот вывод также подтверждается другим отчетом о том же семействе программ-вымогателей, подготовленным исследователями Lodestone.
Они также обнаружили Badhatch в атаках «Белого кролика», а также заметили артефакты PowerShell, похожие на активность, связанную с FIN8 прошлым летом.
В отчете Lodestone делается вывод: «Lodestone выявил ряд TTP, предполагающих, что White Rabbit, если он действует независимо от FIN8, имеет тесные отношения с более известной группой угроз или имитирует их».
На данный момент White Rabbit ограничился тем, что нацелился только на несколько организаций, но считается новой угрозой, которая в будущем может превратиться в серьезную угрозу для компаний.
На этом этапе его можно сдержать, приняв стандартные меры по борьбе с программами-вымогателями, например следующие:
- Развертывание многоуровневых решений для обнаружения и реагирования.
- Создайте сценарий реагирования на инциденты для предотвращения атак и восстановления.
- Проведите моделирование атак программ-вымогателей, чтобы выявить пробелы и оценить производительность.
- Выполняйте резервное копирование, тестируйте резервные копии, проверяйте резервные копии и сохраняйте резервные копии в автономном режиме.
Последнее обновление 05.01.2023
