Động cơ tài chính diễn viên FIN8, rất có thể, đã xuất hiện trở lại với một chủng ransomware chưa từng thấy có tên “White Rabbit” mới được triển khai gần đây đối với một ngân hàng địa phương ở Hoa Kỳ vào tháng 2021 năm XNUMX.
Đó là theo những phát hiện mới do Trend Micro công bố, chỉ ra sự trùng lặp của phần mềm độc hại với Egregor, phần mềm này đã bị cơ quan thực thi pháp luật Ukraine gỡ xuống vào tháng 2021 năm XNUMX.
Các nhà nghiên cứu cho biết: “Một trong những khía cạnh đáng chú ý nhất trong cuộc tấn công của White Rabbit là cách hệ nhị phân tải trọng của nó yêu cầu một mật khẩu dòng lệnh cụ thể để giải mã cấu hình bên trong và tiến hành quy trình ransomware của nó”. lưu ý. “Phương pháp che giấu hoạt động độc hại này là một thủ thuật mà họ ransomware Egregor sử dụng để che giấu các kỹ thuật phần mềm độc hại khỏi quá trình phân tích.”
Egregor, bắt đầu hoạt động vào tháng 2020 năm XNUMX cho đến khi hoạt động của nó đạt được thành công lớn, được cho là một tái sinh mê cung, đã đóng cửa doanh nghiệp tội phạm của mình vào cuối năm đó.
Bên cạnh việc học hỏi từ vở kịch của Egregor, White Rabbit còn tuân thủ kế hoạch tống tiền kép và được cho là đã được gửi qua Cobalt Strike, một khuôn khổ hậu khai thác được các tác nhân đe dọa sử dụng để do thám, xâm nhập và thả các trọng tải độc hại vào hệ thống bị ảnh hưởng.
Tống tiền kép, còn được gọi là trả ngay hoặc bị vi phạm, đề cập đến một chiến lược ransomware ngày càng phổ biến, trong đó dữ liệu có giá trị từ các mục tiêu bị lấy cắp trước khi khởi chạy thói quen mã hóa, sau đó gây áp lực buộc nạn nhân phải trả tiền để ngăn chặn thông tin bị đánh cắp từ việc được công bố trực tuyến.
Thật vậy, ghi chú đòi tiền chuộc được hiển thị sau khi hoàn thành quá trình mã hóa cảnh báo nạn nhân rằng dữ liệu của họ sẽ được xuất bản hoặc bán sau khi hết thời hạn bốn ngày để đáp ứng yêu cầu của họ. “Chúng tôi cũng sẽ gửi dữ liệu tới tất cả các tổ chức giám sát và phương tiện truyền thông quan tâm,” ghi chú cho biết thêm.
Mặc dù các cuộc tấn công trong thế giới thực liên quan đến White Rabbit chỉ mới được chú ý gần đây, nhưng các manh mối pháp y kỹ thuật số đã cùng nhau chỉ ra dấu vết của nó dẫn đến một chuỗi các hoạt động độc hại bắt đầu sớm nhất là vào tháng 2021 năm XNUMX.
Hơn nữa, phân tích các mẫu ransomware có từ tháng 2021 năm XNUMX cho thấy phần mềm độc hại này là phiên bản cập nhật của cửa hậu mỉa mai, mà Bitdefender đã mô tả vào năm ngoái là một phần mềm độc hại được phát triển tích cực gặp phải sau một cuộc tấn công không thành công nhắm vào một tổ chức tài chính ở Hoa Kỳ
“Mối quan hệ chính xác giữa nhóm White Rabbit và FIN8 hiện chưa được xác định,” công ty an ninh mạng Lodestone nói, thêm rằng nó đã tìm thấy “một số TTP gợi ý rằng White Rabbit, nếu hoạt động độc lập với FIN8, có mối quan hệ chặt chẽ với nhóm mối đe dọa lâu đời hơn hoặc đang bắt chước chúng.”
Trend Micro cho biết: “Do FIN8 được biết đến chủ yếu nhờ các công cụ xâm nhập và do thám, kết nối có thể là dấu hiệu cho thấy nhóm này đang mở rộng kho vũ khí của mình để bao gồm cả phần mềm tống tiền như thế nào”. “Cho đến nay, mục tiêu của White Rabbit vẫn còn ít, điều đó có thể có nghĩa là chúng vẫn đang thử nước hoặc chuẩn bị cho một cuộc tấn công quy mô lớn.”
Nguồn: https://thehackernews.com/2022/01/fin8-hackers-spotted-using-new-white.html
