Tin tặc FIN8 phát hiện sử dụng phần mềm ransomware ‘White Rabbit’ mới trong các cuộc tấn công gần đây

thỏ trắng

Diễn viên FIN8 có động cơ tài chính, rất có thể, đã nổi lên với một chủng loại ransomware chưa từng thấy có tên là ““gần đây đã được triển khai chống lại một ngân hàng địa phương ở Mỹ vào tháng 12 năm 2021.

Đó là theo phát hiện mới được công bố bởi Trend Micro, chỉ ra sự trùng lặp của với Egregor, đã bị các cơ quan thực thi pháp luật Ukraine gỡ xuống vào tháng 2 năm 2021.

Các nhà nghiên cứu lưu ý: “Một trong những khía cạnh đáng chú ý nhất của cuộc tấn công của White Rabbit là cách tệp nhị phân tải trọng của nó yêu cầu một mật khẩu dòng lệnh cụ thể để giải mã cấu hình bên trong và tiến hành quy trình ransomware của nó,” các nhà nghiên cứu lưu ý. “Phương pháp che giấu hoạt động độc hại này là một thủ thuật mà gia đình ransomware Egregor sử dụng để che giấu các kỹ thuật khỏi phân tích.”

Egregor, bắt đầu hoạt động vào tháng 9 năm 2020 cho đến khi hoạt động của nó đạt được thành công lớn, được nhiều người cho là sự tái sinh của Maze, công ty đã đóng cửa doanh nghiệp tội phạm của mình vào cuối năm đó.

Bên cạnh việc lấy một chiếc lá ra khỏi vở kịch của Egregor, White Rabbit còn tuân theo kế hoạch tống tiền kép và được cho là đã được phân phối thông qua Cobalt Strike, một khung hậu khai thác được các kẻ đe dọa sử dụng để dò lại, xâm nhập và thả các tải trọng độc hại vào hệ thống bị ảnh hưởng.

Xem tiếp:   Tải xuống lậu 'Spider-Man: No Way Home' Chứa phần mềm độc hại khai thác tiền điện tử

thỏ trắng

Tống tiền kép, còn được gọi là pay-now-get-get-breached, đề cập đến một chiến lược ransomware ngày càng phổ biến, trong đó dữ liệu có giá trị từ các mục tiêu bị lọc ra trước khi khởi chạy quy trình mã hóa, tiếp theo là gây áp lực buộc nạn nhân phải trả tiền để ngăn chặn thông tin bị đánh cắp từ việc xuất bản trực tuyến.

Thật vậy, thông báo tiền chuộc được hiển thị sau khi hoàn tất quá trình mã hóa cảnh báo nạn nhân rằng dữ liệu của họ sẽ được xuất bản hoặc bán sau khi hết thời hạn bốn ngày để đáp ứng yêu cầu của họ. “Chúng tôi cũng sẽ gửi dữ liệu tới tất cả các tổ chức giám sát quan tâm và giới truyền thông”, ghi chú cho biết thêm.

Mặc dù các cuộc tấn công trong thế giới thực liên quan đến White Rabbit chỉ mới được chú ý gần đây, nhưng manh mối pháp y kỹ thuật số ghép nối các dấu vết của nó lại chỉ ra một chuỗi các hoạt động độc hại bắt đầu sớm nhất là vào tháng 7 năm 2021.

Hơn nữa, phân tích các mẫu ransomware có từ tháng 8 năm 2021 cho thấy rằng phần mềm độc hại này là phiên bản cập nhật của cửa hậu Sardonic, được Bitdefender mô tả vào năm ngoái là phần mềm độc hại được phát triển tích cực gặp phải sau một cuộc tấn công không thành công nhắm vào một tổ chức tài chính trong CHÚNG TA

Xem tiếp:   Một phần mềm độc hại phá hoại mới nhắm mục tiêu vào Chính phủ và các tổ chức kinh doanh Ukraina

Công ty an ninh mạng Lodestone cho biết: “Mối quan hệ chính xác giữa nhóm White Rabbit và FIN8 hiện chưa được xác định rõ ràng. hoặc đang bắt chước họ. “

“Do FIN8 được biết đến hầu hết với các công cụ do thám và xâm nhập, kết nối có thể là một dấu hiệu cho thấy nhóm đang mở rộng kho vũ khí của mình để bao gồm ransomware”, Trend Micro nói. “Cho đến nay, mục tiêu của White Rabbit rất ít, có thể có nghĩa là chúng vẫn đang thử nghiệm vùng biển hoặc đang ấm lên cho một cuộc tấn công quy mô lớn.”

.

Related Posts

Check Also

Các chuyên gia cảnh báo về sự trỗi dậy trong ChromeLoader Phần mềm độc hại tấn công trình duyệt của người dùng

Một mối đe dọa quảng cáo độc hại đang chứng kiến ​​một sự gia tăng …