White Rabbit Ransomware

2021年の終わりの直前の12月に、新しいランサムウェアファミリーが、米国の銀行に対する攻撃でサイバー犯罪の状況に登場しました。トレンドマイクロの研究者によって発見され、White Rabbitランサムウェアとして攻撃されたこの脅威は、このタイプの最新のマルウェアの複数の完全に実装された特性を示しています。 White Rabbitの暗号化ルーチンはかなり単純ですが、侵入行為のマスキングに重点が置かれていることを示しています。特定の詳細は、WhiteRabbitとFIN8として知られるAPTグループとの関係を示していることに注意してください。

白うさぎの詳細

攻撃を分析した後、infosecの専門家は、Cobalt Strikeを使用して、White Rabbitが標的のシステムに配備された兆候に気づきました。これは、その広範な機能のために悪意のある攻撃の一部であることが非常に多い合法的な侵入テストツールです。実際のWhiteRabbitペイロードバイナリは約100KBのかなり小さなファイルであり、目立った文字列やアクティビティは表示されません。

White Rabbitは、その破壊的な機能のロックを解除するために、特定のコマンドラインパスワードを必要とします。その後、脅威は内部構成を復号化し、暗号化ルーチンの実行を開始できます。この特定の手法がランサムウェアの脅威によって使用されたのはこれが初めてではなく、以前はEgregorランサムウェアファミリーが悪意のあるアクションを隠すためにそれを利用していました。

暗号化プロセスと要求

White Rabbitは、さまざまな種類のファイルを対象とし、ロックされたファイルごとに同じ身代金メモメッセージを含むテキストファイルを作成します。テキストファイルの名前は、関連ファイルの名前に「.scrypt.txt」を付けたものを組み合わせたものです。暗号化プロセスが妨げられないようにするために、脅威は、マルウェア対策製品に属するものなど、特定のプロセスやサービスを終了させることができます。 White Rabbitはまた、重要なパスとディレクトリ内のファイルをスキップすることにより、システムクラッシュや重大なエラーの発生を回避しようとします。例としては、 \ desktop.ini、c：\ programdata \、：\ windows \、％User Temp％\、：\ programfiles \などがあります。

身代金メモは、WhiteRabbitが二重恐喝スキームを実行していることを示しています。ファイルがロックされる前に、ハッカーは重要な個人データを正常に盗んだと主張しています。被害者はサイバー犯罪者との連絡を確立するために4日間与えられます。さもないと、盗まれた情報は一般に公開されるか、競合する組織に売りに出されます。必要な復号化キーも削除され、ロックされたすべてのファイルを復元できなくなります。

FIN8への接続

FIN8 APTグループは、主にサイバースパイ、潜入、偵察活動に関与しています。グループをWhiteRabbitランサムウェアの脅威に関連付ける特定の詳細があります。 Lodestoneの研究者が述べたように、White Rabbit攻撃の一部として見られる悪意のあるURLは、以前はFIN8グループに関連していました。さらに、彼らの調査結果は、WhiteRabbitがFIN8の悪意のあるツールの一部であると考えられているバックドアであるBadhatchのバージョンを使用していることを示しています。 White RabbitとFIN8の接続が偶発的であるか、グループが実際に活動を拡大しており、ランサムウェアのシーンに参入している場合は、まだ確認されていません。