Эксперты компании Trend Micro изучили образец нового шифровальщика White Rabbit, полученный во время расследования атаки на американский банк в декабре 2021 года. Судя по всему, этот вредонос может быть частью побочной операции хакерской группы FIN8.

FIN8 активна по крайней мере с января 2016 года и известна тем, что атакует розничную торговлю, ресторанный и гостиничный бизнес, здравоохранение с целью кражи данных платежных карт из POS-систем. За прошедшие годы исследователи наблюдали в арсенале FIN8 самые разные инструменты и тактики, начиная от различной POS-малвари, включая BadHatch, PoSlurp (PunchTrack), PowerSniff (PunchBuggy, ShellTea), и заканчивая уязвимостями нулевого дня и таргетированным фишингом.

Исполняемый файл новой малвари представляет собой небольшой пейлоад размером 100 кб. Он требует ввода пароля для расшифровки вредоносной полезной нагрузки. Примечательно, что этот же пароль ранее использовался в работе других вымогателей, включая Egregor, MegaCortex и SamSam.

После запуска с правильным паролем вымогатель сканирует все папки на устройстве и шифрует целевые файлы, создавая записку с требованием выкупа для каждого зашифрованного файла. Записка информирует жертву о том, что ее файлы были украдены, а потом зашифрованы, и злоумышленники угрожают опубликовать или продать похищенные данные, если их требования не будут выполнены. «Мы также направим данные [о случившемся] всем заинтересованным надзорным организациям и СМИ», — добавляют хакеры.

Доказательства кражи файлов загружаются в такие сервисы, как paste[.]com и file[.]io, а пострадавшим предлагается выйти на контакт с хакерами через специальный сайт в даркнете.

Эксперты отмечают, что доказательства связи между FIN8 и White Rabbit обнаруживаются еще на этапе развертывания вымогателя. Так, малварь использует новую и неизвестную ранее версию бэкдора Badhatch (также известную как Sardonic), связанного с FIN8.

Хотя атаки с применением White Rabbit привлекли внимание экспертов лишь недавно и успели затронуть лишь несколько организаций, судя по всему, активность хакеров началась еще в июле 2021 года.

«Учитывая, что FIN8 известна в основном своими инструментами для проникновения и разведки, вероятно, группа расширяет свой арсенал, включая в него программы-вымогатели, — говорят специалисты Trend Micro. — Пока у White Rabbit немного жертв, но это может означать, что хакеры пока прощупывают почву или готовятся к крупномасштабной атаке».

Подписаться
Уведомить о
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии