Ny ransomware, ”White Rabit”, er knyttet til FIN8 hackergruppe

En ny ransomware familie kaldet White Rabbit dukkede op for nylig, og ifølge de seneste analyser, kunne det være en udløber af FIN8 hackergruppe.

FIN8 er en hackergruppe, der har rettet sine aktiviteter mod finansielle organisationer i flere år, primært ved at implementere POS malware, der kan stjæle kreditkortoplysninger.

Et simpelt værktøj til at levere dobbeltafpresning

Den første offentlige omtale af White Rabbit var i et tweet af ransomware ekspert Michael Gillespie. I en ny rapport fra Trend Micro analyserer de en prøve af White Rabbit ransomware opdaget under et angreb på en amerikansk bank i december 2021. Den ransomware eksekverbare fil er en lille nyttelast, der infiltrerer ind på 100 KB fil, og kræver en adgangskode, der skal indtastes på kommandolinjen udførelse for at dekryptere den infiltrede fil.

Metoden er tidligere blevet brugt af andre ransomware operationer, herunder Egregor, MegaCortex, og SamSam. Når udført med den korrekte adgangskode, vil ransomware scanne alle mapper på enheden og kryptere målrettede filer, og kræve løsepenge noter for hver fil, den krypterer. For eksempel kan det ske ved en fil ved navn test.txt som bliver krypteret som test.txt.scrypt, og en løsesum notat ville blive oprettet med navnet test.txt.scrypt.txt. Mens du krypterer en enhed, er flytbare drev og netværksdrev også målrettet, hvor Windows-systemmapper udelukkes fra kryptering for at forhindre, at operativsystemet ikke kan bruges.

Løsesumsnotat informerer offeret om, at deres filer var blevet eksfiltreret og truer med at offentliggøre og / eller sælge de stjålne data, hvis kravene ikke er opfyldt. Fristen for offeret til at betale en løsesum er sat til fire dage, hvorefter hackerne truer med at sende de stjålne data til databeskyttelsesmyndighederne, hvilket fører til brud på datasikkerheden og dermed GDPR-sanktioner. Beviserne for de stjålne filer uploades til tjenester som ‘paste[.] com’ og ‘file[.] io,’ mens offeret tilbydes en live chat kommunikationskanal med hackerne på en Tor forhandlingssite.

Links til FIN8

Trend Micro’s rapport beviser, at der er forbindelse mellem FIN8 og White Rabbit i ransomware implementeringsfasen. Mere specifikt bruger den nye ransomware en aldrig-før-set version af Badhatch (aka “Sardonic”), en bagdør forbundet med FIN8.

Typisk holder hackerne deres brugerdefinerede bagdøre for sig selv og fortsætter med at udvikle dem privat, hvilket også bekræftes af en anden rapport om den samme ransomwarefamilie foretaget af analytikere fra Lodestone.

De fandt også Badhatch i White Rabbit-angreb, mens de også bemærkede spor fra PowerShell svarende til FIN8-associerede aktiviteter fra sidste sommer.

Lodestone-rapporten konkluderer: “Lodestone identificerede en række TTPs, der tyder på, at White Rabbit, hvis den opererer uafhængigt af FIN8, har et tæt forhold til den mere etablerede hackergruppe eller nogen, der efterligner dem.”

White Rabbit har indtil videre begrænset sig til kun at målrette et par enheder, men betragtes som en spirende trussel, der kan blive til en alvorlig trussel mod virksomheder i fremtiden.

På nuværende tidspunkt kan det imødegås ved at tage standard anti-ransomware foranstaltninger som følgende:

  • Implementer løsninger til registrering og svar på tværs af lag.
  • Opret en log for hændelsesrespons til forebyggelse og gendannelse af angreb.

Udfør ransomware angrebssimuleringer for at identificere huller og evaluere ydeevnen.

  • Udfør sikkerhedskopier, test sikkerhedskopier, kontroller sikkerhedskopier, og behold offlinesikkerhedskopier.
  • Tor-webstedet indeholder en hovedside, der bruges til at vise bevis for stjålne data, og en Chat-sektion, hvor offeret kan kommunikere med hackerne og forhandle et krav om løsepenge, som vist nedenfor.

Kilde: BleepingComputer

Scroll til toppen