Новый штамм шифровальщика, использующий продвинутые техники уклонения от обнаружения, прежде чем зашифровать файлы и потребовать выкуп в обмен на ключ дешифровки, может быть связан с печально известной финансовой киберпреступной группировкой.
Вредонос «White Rabbit» впервые замечен в декабре 2021 года в атаке на американский банк и с тех пор изучался исследователями кибербезопасности, которые утверждают, что вирус связан с FIN8 - громкой финансово мотивированной бандой киберпреступников.
FIN8 был впервые заявила о себе в 2016 году и обычно проводила атаки на системы точек продаж (POS) с помощью вредоносных программ, предназначенных для кражи информации по банковским картам. Теперь выясняется, что FIN8 следует за финансовыми трендами и переключается на распространение шифровальщиков.
По мнению исследователей из Trend Micro, White Rabbit использует тактику, которая уже встречалась ранее - в частности, у известного вредоноса Egregor: бинарный файл полезной нагрузки требует ввода определенного пароля в командной строке, прежде чем приступить к процедуре шифрования и требованию выкупа - эта техника позволяет вредоносу оставаться незамеченной до его выполнения.
Трудности обнаружения White Rabbit также связаны с его небольшим размером - всего 100 КБ - и на первый взгляд, отсутствием признаков какой-либо вредоносной активности. Он содержит строки для ведения лога - что могло бы выдать вредоносный характер кода - но доступ к ним можно получить только с помощью правильного пароля. В образце, проанализированном Trend Micro, пароль был «KissMe» - хотя для каждой кампании он мог отличаться.
Как и многие другие программы-вымогатели, White Rabbit использует тактику двойного вымогательства, угрожая жертве опубликовать или перепродать украденные из взломанной сети данные, если не будет получен выкуп. Они также угрожают утечкой, если жертва обратится в ФБР по поводу атаки.
Не уточняется, каким образом киберпреступники, стоящие за White Rabbit, первоначально компрометируют сети, но исследователи отмечают использование Cobalt Strike - инструмента тестирования на проникновение - для сбора информации и перемещения по пораженным системам.
Исследователи из компании Lodestone подробно описали связь между White Rabbit и FIN8. Они отмечают, что вредоносный URL, связанный с атакой, ранее был связан с деятельностью FIN8.
Кроме того, компания Lodestone установила, что White Rabbit использовался вместе с невиданной ранее версией Badhatch - вредоносной программы, предназначенной для создания бэкдоров во взломанных сетях и связанной с предыдущими кампаниями FIN8, направленными на точки продаж.
«В настоящее время мы все еще выясняем, действительно ли инструменты FIN8 и White Rabbit связаны или у них один и тот же создатель. Учитывая, что FIN8 известна в основном утилитами проникновения и разведки, эта связь может свидетельствовать о том, что группировка расширяет свой арсенал» - пишет Trend Micro в своем блоге.
Для финансово мотивированных киберпреступников переход к шифровальщикам может показаться желательным из-за сумм, которые можно заработать на шифровании сетей и которые могут достигать миллионов долларов.
Это не лишено прецедентов - исследователи кибербезопасности ранее подробно рассказывали о том, как FIN11, известная финансовая преступная группа, которая ранее занималась фишингом и распространением вредоносных программ, изменила тактику и переключилась на атаки с выкупом.
Источник: https://is-systems.org