Finansal olarak motive edilmiş FIN8 oyuncusu, büyük olasılıkla, " adlı daha önce hiç görülmemiş bir fidye yazılımı türüyle yeniden ortaya çıktı.White Rabbit” Aralık 2021'de ABD'de yerel bir bankaya karşı konuşlandırıldı.
Bu, Trend Micro tarafından yayınlanan ve kötü amaçlı yazılımın Şubat 2021'de Ukrayna kolluk kuvvetleri tarafından kaldırılan Egregor ile çakıştığını öne süren yeni bulgulara göre.
Araştırmacılar, "Beyaz Tavşan saldırısının en dikkate değer yönlerinden biri, yük ikili dosyasının dahili yapılandırmasının şifresini çözmek ve fidye yazılımı rutinine devam etmek için belirli bir komut satırı parolası gerektirmesidir." ünlü. "Bu kötü amaçlı etkinliği gizleme yöntemi, fidye yazılımı ailesi Egregor'un kötü amaçlı yazılım tekniklerini analizden gizlemek için kullandığı bir hiledir."
Eylül 2020'de operasyonları büyük bir darbe alana kadar faaliyete geçen Egregor'un, Labirentin yeniden doğuşu, o yıl sonra suç girişimini kapattı.
White Rabbit, Egregor'un oyun kitabından bir sayfa çıkarmanın yanı sıra, çifte gasp planına bağlı kalıyor ve tehdit aktörleri tarafından keşif yapmak, sızmak ve kötü niyetli yükleri düşürmek için kullanılan bir sömürü sonrası çerçeve olan Kobalt Strike aracılığıyla teslim edildiğine inanılıyor. etkilenen sistem.
Şimdi öde ya da ihlal olarak da bilinen çifte gasp, şifreleme rutini başlatılmadan önce hedeflerden gelen değerli verilerin sızdırıldığı ve ardından kurbanlara ödeme yapmaları için baskı uyguladığı, giderek daha popüler hale gelen bir fidye yazılımı stratejisini ifade eder. çalınan bilgilerin çevrimiçi yayınlanması.
Nitekim, şifreleme işleminin tamamlanmasından sonra görüntülenen fidye notu, mağduru, taleplerinin karşılanması için dört günlük süre geçtikten sonra verilerinin yayınlanacağı veya satılacağı konusunda uyarır. Notta, "Verileri tüm ilgili denetleyici kuruluşlara ve medyaya da göndereceğiz" diye ekliyor.
Beyaz Tavşanı içeren gerçek dünya saldırıları yakın zamanda dikkat çekmiş olsa da, izini bir araya getiren dijital adli tıp ipuçları, Temmuz 2021 gibi erken bir tarihte başlayan bir dizi kötü amaçlı faaliyete işaret ediyor.
Dahası, Ağustos 2021'e kadar uzanan fidye yazılımı örneklerinin analizi, kötü amaçlı yazılımın güncellenmiş bir sürümü olduğunu gösteriyor. sardonik arka kapıBitdefender'ın geçen yıl ABD'deki bir finans kurumunu hedef alan başarısız bir saldırı sonrasında karşılaşılan, aktif olarak geliştirilmiş bir kötü amaçlı yazılım olarak tanımladığı .
Siber güvenlik şirketi Lodestone, "Beyaz Tavşan grubu ile FIN8 arasındaki kesin ilişki şu anda bilinmiyor" şuraya, "Beyaz Tavşan'ın FIN8'den bağımsız olarak çalışıyorsa, daha yerleşik tehdit grubuyla yakın bir ilişkisi olduğunu veya onları taklit ettiğini öne süren bir dizi TTP" bulduğunu da sözlerine ekledi.
Trend Micro, "FIN8'in çoğunlukla sızma ve keşif araçlarıyla tanındığı düşünüldüğünde, bağlantı, grubun cephaneliğini fidye yazılımlarını içerecek şekilde nasıl genişlettiğinin bir göstergesi olabilir" dedi. “Şimdiye kadar Beyaz Tavşan'ın hedefleri azdı, bu da hala suları test ettikleri veya büyük ölçekli bir saldırı için ısındıkları anlamına gelebilir.”
Kaynak: https://thehackernews.com/2022/01/fin8-hackers-spotted-using-new-white.html
