FIN8 Hack Grubuna Bağlı Yeni White Rabbit Fidye Yazılımı
Yakın zamanda doğada 'White Rabbit' adlı yeni bir fidye yazılımı ailesi ortaya çıktı ve son araştırma bulgularına göre, FIN8 hack grubunun bir yan operasyonu olabilir.
FIN8, özellikle kredi kartı ayrıntılarını çalabilen POS kötü amaçlı yazılımını dağıtarak, birkaç yıldır finansal kuruluşları hedef aldığı tespit edilen, finansal olarak motive olmuş bir aktördür .
Çifte gasp sağlamak için basit bir araç
White Rabbit fidye yazılımından ilk kez, fidye yazılımı uzmanı Michael Gillespie'nin kötü amaçlı yazılımdan bir örnek arayan bir tweet'inde bahsedildi.
🔒 #Ransomware Hunt: "White Rabbit" with extension ".scrypt", drops note for each encrypted file with "<filename>.scrypt.txt" with victim-specific information: https://t.co/ZjVay8A3Ch
"Follow the White Rabbit..." 🐰🤔 pic.twitter.com/lhzHi5t1KK— Michael Gillespie (@demonslay335) December 14, 2021
Trend Micro tarafından hazırlanan yeni bir raporda araştırmacılar, Aralık 2021'de bir ABD bankasına yapılan saldırı sırasında elde edilen White Rabbit fidye yazılımının bir örneğini analiz ediyor.
Yürütülebilir fidye yazılımı, 100 KB boyutunda küçük bir yüktür ve kötü amaçlı yükün şifresini çözmek için komut satırı yürütülürken bir parola girilmesini gerektirir.
Kötü amaçlı yükü yürütmek için bir parola daha önce Egregor, MegaCortex ve SamSam dahil olmak üzere diğer fidye yazılımı işlemleri tarafından kullanılmıştı.
Doğru parola ile çalıştırıldığında, fidye yazılımı cihazdaki tüm klasörleri tarayacak ve hedeflenen dosyaları şifreleyerek şifrelediği her dosya için fidye notları oluşturacaktır.
Örneğin, test.txt adlı bir dosya test.txt.scrypt olarak şifrelenir ve test.txt.scrypt.txt adında bir fidye notu oluşturulur.
Bir cihazı şifrelerken, çıkarılabilir ve ağ sürücüleri de hedeflenir ve işletim sisteminin kullanılamaz hale getirilmesini önlemek için Windows sistem klasörleri şifrelemeden çıkarılır.
Fidye notu, mağdura dosyalarının çalındığını bildirir ve talepler karşılanmazsa çalınan verileri yayınlamak ve/veya satmakla tehdit eder.
Mağdurun fidye ödemesi için son tarih dört gün olarak belirlendi, ardından aktörler çalınan verileri veri koruma yetkililerine göndermekle tehdit ederek veri ihlali GDPR cezalarına yol açtı.
Çalınan dosyaların kanıtı 'paste[.]com' ve 'file[.]io' gibi servislere yüklenirken, kurbana bir Tor müzakere sitesinde oyuncularla canlı sohbet iletişim kanalı sunulur.
Tor sitesi, çalınan verilerin kanıtını görüntülemek için kullanılan bir 'Ana sayfa' ve aşağıda gösterildiği gibi kurbanın tehdit aktörleriyle iletişim kurabileceği ve bir fidye talebini görüşebileceği bir Sohbet bölümü içerir.
FIN8 bağlantıları
Trend Micro raporunda belirtildiği gibi, FIN8 ile 'White Rabbit'i birbirine bağlayan kanıtlar, fidye yazılımının dağıtım aşamasında bulunur.
Daha spesifik olarak, yeni fidye yazılımı, FIN8 ile ilişkili bir arka kapı olan Badhatch'ın (aka "Sardonic") daha önce hiç görülmemiş bir sürümünü kullanıyor.
Tipik olarak, bu aktörler özel arka kapılarını kendilerine saklar ve bunları özel olarak geliştirmeye devam eder.
Bu bulgu, aynı fidye yazılımı ailesi hakkında Lodestone araştırmacıları tarafından üstlenilen farklı bir raporla da doğrulandı.
Onlar da Badhatch'i 'White Rabbit' saldırılarında bulurken, geçen yaz FIN8 ile ilişkili etkinliğe benzer PowerShell eserlerini de fark ettiler.
Lodestone raporu şu sonuca varıyor: "Lodestone, White Rabbit'in FIN8'den bağımsız olarak çalışıyorsa, daha yerleşik tehdit grubuyla yakın bir ilişkisi olduğunu veya onları taklit ettiğini öne süren bir dizi TTP belirledi."
White Rabbit şimdilik kendisini yalnızca birkaç kuruluşu hedef almakla sınırladı, ancak gelecekte şirketler için ciddi bir tehlikeye dönüşebilecek yeni bir tehdit olarak görülüyor.
Bu noktada, aşağıdaki gibi standart fidye yazılımı önleme önlemleri alınarak kontrol altına alınabilir:
- Çapraz katmanlı algılama ve yanıt çözümleri dağıtın.
- Saldırı önleme ve kurtarma için bir olay müdahalesi başucu kitabı oluşturun.
- Boşlukları belirlemek ve performansı değerlendirmek için fidye yazılımı saldırısı simülasyonları gerçekleştirin.
- Yedekleme gerçekleştirin, yedeklemeleri test edin, yedeklemeleri doğrulayın ve çevrimdışı yedeklemeleri saklayın.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.