Финансово мотивированные FIN8 актер, по всей вероятности, вновь появился с невиданным ранее штаммом программы-вымогателя под названием «Белый Кролик», который был недавно развернут против местного банка в США в декабре 2021 года.
Об этом говорится в новых выводах, опубликованных Trend Micro, в которых говорится о дублировании вредоносного ПО с Egregor, который был удален украинскими правоохранительными органами в феврале 2021 года.
«Одним из наиболее примечательных аспектов атаки White Rabbit является то, что его двоичный файл полезной нагрузки требует определенного пароля командной строки для расшифровки своей внутренней конфигурации и продолжения процедуры вымогательства», — исследователи. отметил,. «Этот метод сокрытия вредоносной активности — уловка, которую использует семейство программ-вымогателей Egregor, чтобы скрыть методы вредоносного ПО от анализа».
Широко распространено мнение, что Эгрегор, который начал свою деятельность в сентябре 2020 года, пока его деятельность не потерпела огромный ущерб. реинкарнация лабиринта, которая в том же году закрыла свое преступное предприятие.
Помимо взятия листа из пьесы Эгрегора, White Rabbit придерживается схемы двойного вымогательства и, как полагают, был доставлен через Cobalt Strike, постэксплуатационный фреймворк, который используется злоумышленниками для разведки, проникновения и доставки вредоносных полезных нагрузок в пораженная система.
Двойное вымогательство, также известное как «плати сейчас, или тебя взломают», относится к все более популярной стратегии программ-вымогателей, в которой ценные данные от целей извлекаются до запуска процедуры шифрования, после чего жертвы оказывают давление, чтобы они заплатили, чтобы предотвратить украденная информация из публикации в Интернете.
Действительно, примечание о выкупе, отображаемое после завершения процесса шифрования, предупреждает жертву, что их данные будут опубликованы или проданы по истечении четырехдневного срока для удовлетворения их требований. «Мы также направим данные всем заинтересованным надзорным организациям и СМИ», — добавляется в примечании.
Хотя реальные атаки с участием White Rabbit привлекли внимание лишь недавно, цифровые криминалистические улики, собирающие воедино его след, указывают на череду злонамеренных действий, начавшихся еще в июле 2021 года.
Более того, анализ образцов программ-вымогателей, датированных августом 2021 года, показывает, что эта вредоносная программа представляет собой обновленную версию Сардонический бэкдор, который Bitdefender описал в прошлом году как активно разрабатываемое вредоносное ПО, обнаруженное после неудачной атаки на финансовое учреждение в США.
«Точная связь между группой White Rabbit и FIN8 в настоящее время неизвестна», — заявила компания Lodestone, занимающаяся кибербезопасностью. — сказал, добавив, что было обнаружено «несколько TTP, предполагающих, что White Rabbit, если он действует независимо от FIN8, имеет тесные отношения с более устоявшейся группой угроз или имитирует их».
«Учитывая, что FIN8 известна в основном своими инструментами для проникновения и разведки, эта связь может свидетельствовать о том, что группа расширяет свой арсенал, включая программы-вымогатели», — говорится в сообщении Trend Micro. «До сих пор у «Белого кролика» было мало целей, что может означать, что они все еще прощупывают почву или готовятся к крупномасштабной атаке».
Источник: https://thehackernews.com/2022/01/fin8-hackers-spotted-using-new-white.html.
