Ransomware ‘White Rabbit’ Mungkin Alat Terbaru FIN8

A keluarga ransomware baru, White Rabbit, dikunyah melalui bank lokal AS bulan lalu — dan mungkin terhubung ke kelompok ancaman persisten tingkat lanjut (APT) yang termotivasi secara finansial yang dikenal sebagai FIN8, kata para peneliti.

Dalam laporan hari Selasa, peneliti Trend Micro mengatakan bahwa wabbit twicky ini tahu bagaimana bersembunyi di tempat yang tidak terlihat. Faktanya, sepertinya operator di balik ransomware White Rabbit telah mengambil halaman dari keluarga ransomware yang lebih mapan yang dikenal sebagai Egregor dalam hal menyembunyikan aktivitas jahat mereka, kata para peneliti.

Egregor, yang mengaku bertanggung jawab atas serangan siber yang dipublikasikan dengan baik di Barnes & Noble pada Oktober 2020, adalah pemain ransomware-as-a-service (RaaS) yang memicu peringatan FBI setelah mengkompromikan lebih dari 150 organisasi dalam waktu singkat setelah kelahirannya.

White Rabbit mungkin licik, tetapi meninggalkan jejak. Ransomware ditemukan oleh beberapa pakaian keamanan, dan pertama kali terdeteksi pada 14 Desember oleh tim Investigasi Forensik Lodestone, yang mengatakan bahwa mereka telah melihat beberapa aktivitas White Rabbit beberapa hari sebelumnya, pada 11 Desember. hingga 10 Juli, ketika skrip PowerShell dieksekusi – skrip yang menyimpan blok skrip yang cocok dengan yang dijelaskan dalam artikel Bitdefender 27 Juli di FIN8.

Serangan White Rabbit 14 Desember juga diungkapkan secara publik di Twitter pada hari yang sama oleh peneliti keamanan Michael Gillespie (@demonslay355).
🔒 #Ransomware Hunt: “White Rabbit” dengan ekstensi “.scrypt”, memberikan catatan untuk setiap file terenkripsi dengan “.scrypt.txt” dengan informasi khusus korban: https://t.co/ ZjVay8A3Ch”Ikuti Kelinci Putih…” 🐰🤔 pic.twitter.com/lhzHi5t1KK

— Michael Gillespie (@demonslay335) 14 Desember 2021

Gillespie menyertakan tautan ke catatan tebusan, yang mencakup seni ASCII kelinci imut. Catatan tersebut memperingatkan korban bahwa jika mereka membacanya, infrastruktur jaringan mereka telah disusupi, data penting mereka telah bocor dan file mereka dienkripsi. Dengan kata lain, pendatang baru menggunakan shtick pemerasan ganda yang sama yang digunakan oleh jumlah pemain RaaS yang meroket, mengancam target bahwa data curian mereka tidak hanya dienkripsi tetapi juga akan dipublikasikan atau dijual. Catatan
Ransom. Sumber: Gillespie mengupload ke PasteBin.

Command-Line Sandi ‘KissMe’ Digunakan untuk Menyembunyikan Tindakan Buruk

Menjadi imut-wutesy-er: Peneliti Trend Micro mengatakan bahwa salah satu aspek yang paling menonjol dari serangan ransomware baru adalah penggunaan perintah tertentu- kata sandi baris untuk mendekripsi konfigurasi internalnya dan meluncurkan rutin ransomware-nya. Dalam kasus khusus yang mereka temukan, kata sandi itu adalah “KissMe,” seperti yang ditunjukkan pada tangkapan layar SysTracer di bawah ini. SysTracer adalah alat utilitas sistem yang mengendus data yang diubah dalam registri sistem dan baris files.
Command, menunjukkan kata sandi “KissMe,” yang digunakan untuk mengeksekusi ransomware. Sumber: Trend Micro.

“Metode menyembunyikan aktivitas berbahaya ini adalah trik yang digunakan keluarga ransomware Egregor untuk menyembunyikan teknik malware dari analisis,” peneliti Trend Micro menunjukkan, menambahkan bahwa “sampel lain mungkin menggunakan kata sandi yang berbeda” dari KissMe .

Gambar SysTracer juga menunjukkan argumen yang diterima oleh ransomware, yang menurut dugaan peneliti, berdiri untuk:

    -p: password/passphrase

    -f: file yang akan dienkripsi

    -l: logfile

    -t: waktu mulai malware

Cobalt Strike Link to FIN82dhhh
Micro menangkap jejak perintah Cobalt Strike – PowerShell .exe, seperti yang ditunjukkan di bawah ini – yang menurut penelitinya “mungkin telah digunakan untuk mengintai, menyusup, dan menjatuhkan muatan berbahaya ke dalam sistem yang terpengaruh,” menurut report.
Traces dari Perintah Cobalt Strike. Sumber: Analisis Trend Micro.

Lodestone tentang taktik, teknik, dan prosedur (TTP) grup ransomware menunjuk ke grup White Rabbit yang berpotensi berafiliasi dengan FIN8.

FIN8 biasanya menggunakan rekayasa sosial dan spear-phishing untuk mengejar layanan keuangan dan pembayaran- data kartu dari sistem point-of-sale (PoS) – terutama dari pengecer, restoran, dan industri perhotelan. Baru-baru ini, ia telah menambahkan ransomware ke tas truknya. Ini telah aktif setidaknya sejak Januari 2016 dan secara berkala muncul dan keluar dari dormansi untuk menyempurnakan TTP-nya sehingga dapat menghindari deteksi dan meningkatkan tingkat keberhasilannya.

Salah satu contohnya adalah pada bulan Agustus, ketika penyempurnaan terbaru dari APT’s BadHatch backdoor terbukti mampu memanfaatkan malware baru dengan cepat tanpa pemindahan, membuatnya kuat dan gesit.

Selain BadHatch, gudang senjata FIN8 yang lengkap telah menyertakan varian malware seperti ShellTea – pintu belakang yang juga dikenal sebagai PunchBuggy –dan malware pengikis memori PunchTrack.

Dalam serangan bulan Desember, White Rabbit menyeret versi BadHatch yang sebelumnya tidak terlihat yang, berdasarkan karakteristik sampel malware yang diperoleh, Lodestone bernama F5.

“Hubungan pasti antara grup White Rabbit dan FIN8 saat ini tidak diketahui,” Lodestone menetapkan. “Namun, Lodestone mengidentifikasi sejumlah TTP yang menunjukkan bahwa White Rabbit, jika beroperasi secara independen dari FIN8, memiliki hubungan dekat dengan kelompok ancaman yang lebih mapan atau meniru mereka.”

White Rabbit’s Ransomware Path

Seperti yang dikatakan Trend Micro, ransomware White Rabbit menciptakannya catatan untuk setiap file yang dienkripsi. “Setiap catatan menyandang nama file terenkripsi dan ditambahkan dengan ‘.scrypt.txt,`” peneliti menjelaskan. “Sebelum rutin ransomware, malware juga menghentikan beberapa proses dan layanan, terutama yang terkait dengan antivirus.”

Selanjutnya, jika argumen -f tidak diberikan, ia mencoba mengenkripsi file di drive tetap, dapat dilepas, dan jaringan, juga seperti dalam sumber daya. Trend Micro menyediakan daftar di bawah jalur dan direktori yang coba dilewati oleh ransomware, “untuk menghindari sistem crash dan menghancurkan catatannya sendiri.”

    *.scrypt.txt

    *.scrypt

    c:windows*

    *:sysvol *

    *:netlogon*

    c:filesource*

    *.exe

    *.dll

    *desktop.ini

    *:windows*

    c:programdata*

    *:programfiles*

    *:program files (x86)*

    *:program files (x64)*

    *.lnk

    *.iso

    *.msi

    *.sys

    *.inf

    %User Temp%*

    *thumbs.db

FIN8 Koneksi Masih Sedikit Tidak Jelas

FIN8 dan White Rabbit mungkin terkait, atau mereka mungkin benar-benar berbagi pencipta yang sama: Ini bukan panggilan yang solid dulu, kata Trend Micro.

Bisa jadi ini hanya indikasi lain tentang bagaimana grup melakukan apa yang dikenalnya: memperluas arsenal, melewati alat infiltrasi dan pengintaian yang terkenal, untuk menambahkan ransomware ke toolkit. “Sejauh ini, target White Rabbit hanya sedikit, yang dapat berarti bahwa mereka masih menguji air atau pemanasan untuk serangan skala besar,” catat peneliti Trend Micro.

Ini memiliki rutinitas ransomware yang “tidak rumit”, yang kemungkinan berarti bahwa itu masih dalam pengembangan, kata mereka. Meskipun merupakan bagian sederhana dari malware, itu masih berbahaya: “Meskipun berada pada tahap awal ini, bagaimanapun, penting untuk menyoroti bahwa ia memiliki karakteristik yang merepotkan dari ransomware modern: Bagaimanapun, ini sangat bertarget dan menggunakan metode pemerasan ganda. ,” menurut tulisan Trend Micro. “Karena itu, perlu dipantau.”

Blocking White Rabbit Attacks

Baik Lodestone dan Trend Micro menyertakan indikator kompromi dalam penulisan White Rabbit mereka.

Trend Micro juga memiliki saran berikut untuk menyiapkan pertahanan berlapis untuk “membantu menjaga terhadap ransomware modern dan mencegah keberhasilan taktik penghindaran yang mereka gunakan”:

    Menyebarkan solusi deteksi dan respons berlapis-lapis. Temukan solusi yang dapat mengantisipasi dan merespons aktivitas, teknik, dan gerakan ransomware sebelum ancaman memuncak.

    Buat pedoman untuk pencegahan dan pemulihan serangan. Baik pedoman respons insiden (IR) dan kerangka kerja IR memungkinkan organisasi untuk merencanakan berbagai serangan, termasuk simulasi serangan ransomware.

    Conduct. Paparkan karyawan pada simulasi serangan siber realistis yang dapat membantu pengambil keputusan, personel keamanan, dan tim IR mengidentifikasi dan mempersiapkan potensi celah dan serangan keamanan.

Foto milik PxHere. Detail lisensi.