新しいホワイトラビットランサムウェア株は、類魂と結びつく可能性があります

セキュリティ研究者は、ランサムウェアの新種に関する最近のレポートを公開しました。新しいランサムウェアは独自のファミリーのメンバーであり、身代金メモに表示されるかわいいASCIIバニーにちなんで、ホワイトラビットと呼ばれています。ランサムウェアは、APT8として知られる高度な持続的脅威アクターに関連していると考えられています。

APT8は、脅威の状況に応じて金銭的に動機付けられたAPTの1つであり、2018年から活動を続けており、レストラン、ホスピタリティ、小売業界の企業に対してランサムウェア攻撃を仕掛けています。

白うさぎと類魂の類似点

セキュリティ会社のトレンドマイクロは、新しいWhite Rabbitランサムウェアに関するレポートを公開し、新しい株と以前から知られているEgregorランサムウェアとの類似点について概説しました。ランサムウェアの2つの株は、2つの異なるファミリとして分類されるほど十分に異なっていても、トラックを非表示にして検出を回避しようとする方法に関して、いくつかの非常に類似した方法とアプローチを持っています。

White Rabbitは、2021年のクリスマス直前の数か月前に最初に詳細に調査されました。独立した研究者のMichael Gillespieが、WhiteRabbitの完全な身代金メモのスクリーンショットと暗号化されたファイルのサンプルを含むTwitter投稿を公開しました。ファイル。

白うさぎが二重恐喝に行く

White Rabbitランサムウェアは、二重の恐喝に使用されます。これは、ランサムウェア攻撃に関してはほぼ標準になっている方法です。身代金メモは、身代金が支払われない場合、ハッカーが機密情報を公開することを脅かしています。昨年、二重の恐喝が広まったため、新たな脅威アクターがそれに失敗した場合、それはほとんど奇妙な例外です。

White Rabbitのペイロードの分析は、ランサムウェアの初期ペイロードが暗号化されており、パスワード文字列を使用して最終ペイロードの内部構成を復号化する必要があることを示しました。研究者が分析したサンプルでは、この内部復号化プロセスに使用されたパスワード文字列は「KissMe」でした。 Egregorランサムウェアは、非常によく似た難読化手法を使用して、自身の悪意のあるアクティビティを隠蔽しました。これにより、2つのランサムウェアファミリ間にリンクが確立される可能性がありました。

さらに、White Rabbitで使用される手法と方法のいくつかは、APT8として知られる脅威アクターの方法論と非常によく似ています。

どこでも身代金メモ！

技術的なレベルでは、WhiteRabbitは信じられないほど革新的なことは何もしていません。ランサムウェアは、システム全体の安定性を損なう可能性のあるフォルダやファイルを回避しながら、ターゲットシステム上のファイルを暗号化します。システムドライバ、Windows OSファイル、およびプログラムファイルの下にインストールされたソフトウェアを含むディレクトリはそのまま保持されます。他のすべてのユーザーファイルは暗号化され、.scrypt拡張子が暗号化されたファイルに追加されます。ランサムウェアはまた、暗号化されたすべてのファイルに沿って身代金メモをドロップし、filename.ext.scrypt.txtという名前の身代金メモを生成します。