ГИС

Группировка FIN8 обзавелась собственным вымогательским ПО White Rabbit

19.01.2022
Группировка FIN8 обзавелась собственным вымогательским ПО White Rabbit

Специалисты ИБ-компании Trend Micro обнаружили новое семейство вымогательского ПО, получившее название White Rabbit, которое, по их мнению, может быть побочной операцией FIN8, сообщает SecurityLab.

FIN8 – финансово мотивированная киберпреступная группа, уже в течение нескольких лет атакующая финансовые организации, в основном с помощью вредоносного ПО для POS-терминалов, похищающего данные кредитных карт.

Первым публичным упоминанием White Rabbit является твит ИБ-эксперта Майкла Гиллеспи (Michael Gillespie), в котором он просит предоставить ему образец для анализа.

Исследователи из Trend Micro проанализировали образец White Rabbit, полученный после атаки на один из банков в США в декабре 2021 года.

Исполняемый файл вымогателя представляет собой небольшую полезную нагрузку размером всего 100 КБ, и для ее расшифровки требуется ввести пароль в командную строку. После выполнения White Rabbit сканирует все папки на устройстве и шифрует файлы, создавая для каждого из них отдельную записку с требованием выкупа. Например, после шифрования файл с именем test.txt станет test.txt.scrypt, и для него будет создана записка с именем файла test.txt.scrypt.txt.

Вредонос также шифрует съемные и сетевых хранилища, но системные папки Windows не трогает, чтобы операционная система продолжала работать.

В записке с требованием выкупа жертве сообщается о том, что ее файлы были похищены, и, если она не выполнит требования, они будут опубликованы и/или проданы. На выполнение требований дается четыре дня, после чего злоумышленники угрожают отправить похищенные данные регулирующим органам в области защиты данных, и жертва рискует получить обвинение в нарушении «Общего регламента по защите данных» (GDPR).

Согласно записке, жертва должна связаться с вымогателями через чат на их сайте в сети Tor.

Специалисты обнаружили возможную связь между FIN8 и White Rabbit на этапе разработки вымогательского ПО. Так, в нем используется никогда ранее не встречавшаяся версия бэкдора Badhatch (он же Sardonic) из арсенала FIN8. Как правило, группировки наподобие FIN8 не делятся своими инструментами и регулярно их совершенствуют.

На данный момент White Rabbit атаковал всего несколько организаций, но уже считается развивающейся угрозой, которая может принести немалый ущерб компаниям в будущем.