Diễn viên FIN8 có động cơ tài chính, rất có thể, đã nổi lên với một chủng loại ransomware chưa từng thấy có tên là “thỏ trắng“gần đây đã được triển khai chống lại một ngân hàng địa phương ở Mỹ vào tháng 12 năm 2021.
Đó là theo phát hiện mới được công bố bởi Trend Micro, chỉ ra sự trùng lặp của phần mềm độc hại với Egregor, đã bị các cơ quan thực thi pháp luật Ukraine gỡ xuống vào tháng 2 năm 2021.
Các nhà nghiên cứu lưu ý: “Một trong những khía cạnh đáng chú ý nhất của cuộc tấn công của White Rabbit là cách tệp nhị phân tải trọng của nó yêu cầu một mật khẩu dòng lệnh cụ thể để giải mã cấu hình bên trong và tiến hành quy trình ransomware của nó,” các nhà nghiên cứu lưu ý. “Phương pháp che giấu hoạt động độc hại này là một thủ thuật mà gia đình ransomware Egregor sử dụng để che giấu các kỹ thuật phần mềm độc hại khỏi phân tích.”
Egregor, bắt đầu hoạt động vào tháng 9 năm 2020 cho đến khi hoạt động của nó đạt được thành công lớn, được nhiều người cho là sự tái sinh của Maze, công ty đã đóng cửa doanh nghiệp tội phạm của mình vào cuối năm đó.
Bên cạnh việc lấy một chiếc lá ra khỏi vở kịch của Egregor, White Rabbit còn tuân theo kế hoạch tống tiền kép và được cho là đã được phân phối thông qua Cobalt Strike, một khung hậu khai thác được các kẻ đe dọa sử dụng để dò lại, xâm nhập và thả các tải trọng độc hại vào hệ thống bị ảnh hưởng.
Tống tiền kép, còn được gọi là pay-now-get-get-breached, đề cập đến một chiến lược ransomware ngày càng phổ biến, trong đó dữ liệu có giá trị từ các mục tiêu bị lọc ra trước khi khởi chạy quy trình mã hóa, tiếp theo là gây áp lực buộc nạn nhân phải trả tiền để ngăn chặn thông tin bị đánh cắp từ việc xuất bản trực tuyến.
Thật vậy, thông báo tiền chuộc được hiển thị sau khi hoàn tất quá trình mã hóa cảnh báo nạn nhân rằng dữ liệu của họ sẽ được xuất bản hoặc bán sau khi hết thời hạn bốn ngày để đáp ứng yêu cầu của họ. “Chúng tôi cũng sẽ gửi dữ liệu tới tất cả các tổ chức giám sát quan tâm và giới truyền thông”, ghi chú cho biết thêm.
Mặc dù các cuộc tấn công trong thế giới thực liên quan đến White Rabbit chỉ mới được chú ý gần đây, nhưng manh mối pháp y kỹ thuật số ghép nối các dấu vết của nó lại chỉ ra một chuỗi các hoạt động độc hại bắt đầu sớm nhất là vào tháng 7 năm 2021.
Hơn nữa, phân tích các mẫu ransomware có từ tháng 8 năm 2021 cho thấy rằng phần mềm độc hại này là phiên bản cập nhật của cửa hậu Sardonic, được Bitdefender mô tả vào năm ngoái là phần mềm độc hại được phát triển tích cực gặp phải sau một cuộc tấn công không thành công nhắm vào một tổ chức tài chính trong CHÚNG TA
Công ty an ninh mạng Lodestone cho biết: “Mối quan hệ chính xác giữa nhóm White Rabbit và FIN8 hiện chưa được xác định rõ ràng. hoặc đang bắt chước họ. “
“Do FIN8 được biết đến hầu hết với các công cụ do thám và xâm nhập, kết nối có thể là một dấu hiệu cho thấy nhóm đang mở rộng kho vũ khí của mình để bao gồm ransomware”, Trend Micro nói. “Cho đến nay, mục tiêu của White Rabbit rất ít, có thể có nghĩa là chúng vẫn đang thử nghiệm vùng biển hoặc đang ấm lên cho một cuộc tấn công quy mô lớn.”
.
