Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Группировка FIN8 обзавелась собственным вымогательским ПО White Rabbit

19/01/22

hack76-Jan-19-2022-09-20-20-47-AMСпециалисты ИБ-компании Trend Micro обнаружили новое семейство вымогательского ПО, получившее название White Rabbit, которое, по их мнению, может быть побочной операцией FIN8.

FIN8 – финансово мотивированная киберпреступная группа, уже в течение нескольких лет атакующая финансовые организации, в основном с помощью вредоносного ПО для POS-терминалов, похищающего данные кредитных карт.

Первым публичным упоминанием White Rabbit является твит ИБ-эксперта Майкла Гиллеспи (Michael Gillespie), в котором он просит предоставить ему образец для анализа.

Исследователи из Trend Micro проанализировали образец White Rabbit, полученный после атаки на один из банков в США в декабре 2021 года.

Исполняемый файл вымогателя представляет собой небольшую полезную нагрузку размером всего 100 КБ, и для ее расшифровки требуется ввести пароль в командную строку. После выполнения White Rabbit сканирует все папки на устройстве и шифрует файлы, создавая для каждого из них отдельную записку с требованием выкупа. Например, после шифрования файл с именем test.txt станет test.txt.scrypt, и для него будет создана записка с именем файла test.txt.scrypt.txt.

Вредонос также шифрует съемные и сетевых хранилища, но системные папки Windows не трогает, чтобы операционная система продолжала работать.

В записке с требованием выкупа жертве сообщается о том, что ее файлы были похищены, и, если она не выполнит требования, они будут опубликованы и/или проданы. На выполнение требований дается четыре дня, после чего злоумышленники угрожают отправить похищенные данные регулирующим органам в области защиты данных, и жертва рискует получить обвинение в нарушении «Общего регламента по защите данных» (GDPR).

Согласно записке, жертва должна связаться с вымогателями через чат на их сайте в сети Tor.

Специалисты обнаружили возможную связь между FIN8 и White Rabbit на этапе разработки вымогательского ПО. Так, в нем используется никогда ранее не встречавшаяся версия бэкдора Badhatch (он же Sardonic) из арсенала FIN8. Как правило, группировки наподобие FIN8 не делятся своими инструментами и регулярно их совершенствуют.

На данный момент White Rabbit атаковал всего несколько организаций, но уже считается развивающейся угрозой, которая может принести немалый ущерб компаниям в будущем.

Темы:УгрозыВымогателиFin8
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...