Ένα νέο ransomware με το όνομα “White Rabbit” έκανε την εμφάνισή του και σύμφωνα με πρόσφατα ευρήματα μιας έρευνας, θα μπορούσε να συνδέεται με τη hacking ομάδα FIN8.
Η ομάδα FIN8 είναι μια ομάδα που έχει κατά βάση οικονομικά κίνητρα και στοχεύει χρηματοπιστωτικούς οργανισμούς εδώ και αρκετά χρόνια, κυρίως μέσω της ανάπτυξης POS malware που μπορεί να κλέψει στοιχεία πιστωτικών καρτών.
Δείτε επίσης: Moncler fashion brand: Παραβίαση δεδομένων μετά από ransomware επίθεση
Διπλός εκβιασμός
Η πρώτη δημόσια αναφορά για το ransomware White Rabbit έγινε σε ένα tweet του ειδικού σε υποθέσεις ransomware, Michael Gillespie.
Σε μια νέα έκθεση της Trend Micro, οι ερευνητές αναλύουν ένα δείγμα του ransomware White Rabbit, το οποίο απέκτησαν κατά τη διάρκεια μιας επίθεσης σε τράπεζα των ΗΠΑ, τον Δεκέμβριο του 2021.
Σύμφωνα με τους ερευνητές, το ransomware executable είναι ένα μικρό payload (100 KB file) και απαιτεί την εισαγωγή κωδικού πρόσβασης για την αποκρυπτογράφηση του κακόβουλου payload.
Δείτε επίσης: Το Qlocker ransomware επιστρέφει στοχεύοντας συσκευές QNAP NAS
Η τακτική χρήσης κωδικού πρόσβασης για την εκτέλεση του κακόβουλου payload έχει χρησιμοποιηθεί στο παρελθόν και από άλλες λειτουργίες ransomware, συμπεριλαμβανομένων των Egregor, MegaCortex και SamSam.
Μόλις εκτελεστεί με τον σωστό κωδικό πρόσβασης, το ransomware θα σαρώσει όλους τους φακέλους στη συσκευή του θύματος και θα κρυπτογραφήσει αρχεία, δημιουργώντας παράλληλα σημειώματα λύτρων για κάθε κρυπτογραφημένο αρχείο.
Το σημείωμα λύτρων ενημερώνει το θύμα ότι τα αρχεία του έχουν κλαπεί και ότι θα εκτεθούν, αν δεν πληρωθούν τα λύτρα.
Το θύμα καλείται να πληρώσει τα λύτρα μέσα σε τέσσερις ημέρες. Μετά το πέρας αυτής της μικρής περιόδου, οι χειριστές του White Rabbit ransomware απειλούν να στείλουν τα κλεμμένα δεδομένα στις αρχές προστασίας δεδομένων, οδηγώντας σε κυρώσεις για παραβίαση δεδομένων GDPR.
Τα αποδεικτικά στοιχεία για τα κλεμμένα αρχεία μεταφορτώνονται σε υπηρεσίες όπως ‘paste[.]com‘ and ‘file[.]io‘, ενώ στο θύμα προσφέρεται ένα κανάλι επικοινωνίας ζωντανής συνομιλίας με τους hackers, σε ένα site διαπραγμάτευσης Tor.
Δείτε επίσης: Microsoft: Επείγουσες επιδιορθώσεις Windows Server για σφάλματα VPN
Στο Tor site μπορεί το θύμα να δει τα αποδεικτικά στοιχεία για τα κλεμμένα δεδομένα. Υπάρχει και μια ενότητα συνομιλίας όπου το θύμα μπορεί να επικοινωνήσει με τους επιτιθέμενους για να διαπραγματευτεί για τα λύτρα.
Συνδέεται το White Rabbit ransomware με την ομάδα FIN8;
Σύμφωνα με την Trend Micro, υπάρχουν κάποια στοιχεία στο στάδιο ανάπτυξης του ransomware, που δείχνουν ότι μπορεί να υπάρχει σύνδεση με τη hacking ομάδα FIN8.
Το νέο ransomware χρησιμοποιεί μια ασυνήθιστη έκδοση του Badhatch (γνωστό και ως “Sardonic”), ενός backdoor που σχετίζεται με την FIN8.
Οι ερευνητές πιστεύουν ότι το White Rabbit συνδέεται με την ομάδα γιατί, συνήθως, αυτοί οι hackers κρατούν τα custom backdoors για τον εαυτό τους.
Αυτό το εύρημα επιβεβαιώνεται επίσης από μια διαφορετική αναφορά για το ίδιο ransomware, από ερευνητές της Lodestone. Αυτοί οι ερευνητές βρήκαν και άλλο κοινό στοιχείο και σχολίασαν ότι αν τελικά δεν υπάρχει άμεση σχέση μεταξύ αυτού του νέου ransomware και της ομάδας, τότε το ransomware μπορεί να μιμείται τις τεχνικές αυτών των hackers.
Προς το παρόν, το White Rabbit έχει στοχεύσει λίγες μόνο οντότητες, αλλά θεωρείται μια αναδυόμενη απειλή.
Πηγή: Bleeping Computer