Danny Palmer Senior Reporter
Danny Palmer är en senior reporter på ZDNet. Baserad i London skriver han om frågor som cybersäkerhet, hacking och skadlig programvara.
Fullständig bio den 19 januari 2022 | Ämne: Säkerhet 
Inuti ett ransomware-gäng: Akta dig för dessa aggressiva taktiker Titta nu
En ny form av ransomware som använder diskreta tekniker för att undvika upptäckt innan filer krypteras och kräver betalning i utbyte mot dekrypteringsnyckeln kan kopplas till ett ökänt ekonomiskt brott grupp.
White Rabbit ransomware uppstod i december 2021 med en attack mot en amerikansk bank och har sedan dess undersökts av cybersäkerhetsforskare, som säger att ransomwaren verkar vara kopplad till FIN8, ett ekonomiskt motiverat cyberkriminellt gäng.
FIN8 identifierades först 2016 och riktar sig vanligtvis till försäljningsställen (POS) med skadliga attacker som är utformade för att stjäla kreditkortsinformation. Nu verkar det som att FIN8 kan följa pengarna och gå över mot ransomware-kampanjer.
SE: Din cybersäkerhetsutbildning behöver förbättras eftersom hackattacker bara blir värre
Enligt cybersäkerhetsforskare på Trend Micro använder White Rabbit taktik som har setts tidigare, framför allt av Egregor, genom att det är nyttolasten binär kräver ett specifikt kommandoradslösenord innan det går vidare med ransomware och krypteringsrutinen – en teknik som gör att nyttolasten förblir oupptäckt tills den exekveras.
Nyttolasten är också svår att upptäcka eftersom filen är liten, bara 100KB, vilket inte verkar visa några tecken på aktivitet. Den innehåller strängar för loggning – något som skulle kunna ge bort den skadliga avsikten – men dessa kunde bara nås med rätt lösenord. I provet som analyserades av Trend Micro var lösenordet 'KissMe' – även om lösenordet kan vara olika för varje kampanj.
Liksom många andra ransomware-grupper använder White Rabbit dubbel utpressning och hotar offret för attacken med att publicera eller sälja data som stulits från det komprometterade nätverket om en lösensumma inte tas emot. De hotar också att läcka uppgifterna om offret kontaktar FBI om attacken.
Det är inte detaljerat hur cyberbrottslingarna bakom White Rabbit till en början kompromissar med nätverk, men forskare noterar användningen av Cobalt Strike, ett penetrationstestverktyg, för att samla information och flytta runt påverkade system.
Men något som har beskrivits av forskare vid cybersäkerhetsföretaget Lodestone är vad som verkar vara en koppling mellan White Rabbit och FIN8. De noterar att en skadlig URL kopplad till attacken tidigare har kopplats till FIN8-aktivitet.
SE: En vinnande strategi för cybersäkerhet (ZDNet särskild rapport)
Utöver detta har Lodestone identifierat White Rabbit som används tillsammans med en aldrig tidigare skådad version av Badhatch, en form av skadlig kod designad för att skapa bakdörrar till komprometterade nätverk och som är associerad med tidigare FIN8-kampanjer inriktade på försäljningssystem.
“För närvarande avgör vi fortfarande om FIN8 och White Rabbit verkligen är släkt eller om de delar samma skapare. Med tanke på att FIN8 är mest känt för sina infiltrations- och spaningsverktyg, kan kopplingen vara en indikation på hur gruppen utökar sin arsenal till att inkludera ransomware”, skrev Trend Micro i ett blogginlägg.
För ekonomiskt motiverade cyberbrottslingar kan en övergång till ransomware ses som önskvärd på grund av mängden pengar som kan tjänas från krypteringsnätverk, som kan nå miljontals dollar.
Det är inte utan prejudikat – cybersäkerhetsforskare har tidigare beskrivit hur FIN11, en etablerad grupp för ekonomisk brottslighet som tidigare fokuserat på nätfiske- och skadliga kampanjer, ändrade taktik och gick över till ransomware-attacker.
MER OM CYBERSÄKERHET
Ransomware-angripare riktade sig mot detta företag. Sedan upptäckte försvarare något konstigtBossar är ovilliga att spendera pengar på cybersäkerhet. Sedan blir de hackadeRyska myndigheter tar ner REvil ransomware-gängetDetta företag drabbades av ransomware, men behövde inte betala. Så här gjorde deHar vi nått toppen av ransomware? Hur internets största säkerhetsproblem har växt och vad händer härnäst Säkerhets-TV | Datahantering | CXO | Datacenter