Danny Palmer Senior Reporter
Danny Palmer er en senior reporter hos ZDNet. Baseret i London skriver han om problemer, herunder cybersikkerhed, hacking og malware-trusler.
Fuld bio den 19. januar 2022 | Emne: Sikkerhed 
En ny form for ransomware, der bruger diskrete teknikker til at undgå opdagelse, før filer krypteres og kræves betaling i bytte for dekrypteringsnøglen, kan være forbundet med en berygtet økonomisk kriminalitet gruppe.
White Rabbit ransomware opstod i december 2021 med et angreb mod en amerikansk bank og er siden blevet undersøgt af cybersikkerhedsforskere, som siger, at ransomwaren ser ud til at være forbundet med FIN8, en økonomisk motiveret cyberkriminel bande.
FIN8 blev først identificeret i 2016 og målretter typisk salgssteder (POS)-systemer med malware-angreb designet til at stjæle kreditkortoplysninger. Nu ser det ud til, at FIN8 kunne følge pengene og skifte mod ransomware-kampagner.
SE: Din cybersikkerhedstræning skal forbedres, fordi hackingangreb kun bliver værre
Ifølge cybersikkerhedsforskere hos Trend Micro bruger White Rabbit taktikker, der er set før, især af Egregor, i og med at det er nyttelast binær kræver en specifik kommandolinjeadgangskode, før den går videre med ransomware- og krypteringsrutinen – en teknik, der tillader nyttelasten at forblive uopdaget, indtil den udføres.
Nyttelasten er også svær at opdage, fordi filen er lille, kun 100KB, som ikke ser ud til at vise tegn på aktivitet. Den indeholder strenge til logning – noget, der kunne give væk den ondsindede hensigt – men disse kunne kun tilgås med den korrekte adgangskode. I prøven analyseret af Trend Micro var adgangskoden 'KissMe' – selvom adgangskoden kunne være forskellig for hver kampagne.
Som mange andre ransomware-grupper bruger White Rabbit dobbelt afpresning og truer offeret for angrebet med at offentliggøre eller sælge data stjålet fra det kompromitterede netværk, hvis en løsesum ikke modtages. De truer også med at lække dataene, hvis offeret kontakter FBI om angrebet.
Det er ikke detaljeret, hvordan cyberkriminelle bag White Rabbit oprindeligt kompromitterer netværk, men forskere bemærker brugen af Cobalt Strike, et penetrationstestværktøj, til at indsamle information og flytte rundt på berørte systemer.
Men noget, der er blevet detaljeret af forskere hos cybersikkerhedsfirmaet Lodestone er, hvad der ser ud til at være en forbindelse mellem White Rabbit og FIN8. De bemærker, at en ondsindet URL forbundet til angrebet tidligere har været forbundet med FIN8-aktivitet.
SE: En vindende strategi for cybersikkerhed (ZDNet særberetning)
Ud over dette har Lodestone identificeret White Rabbit, der bruges sammen med en aldrig før set version af Badhatch, en form for malware designet til at skabe bagdøre til kompromitterede netværk, og som er forbundet med tidligere FIN8-kampagner rettet mod salgssteder.
“I øjeblikket er vi stadig ved at afgøre, om FIN8 og White Rabbit faktisk er beslægtede, eller om de deler den samme skaber. I betragtning af at FIN8 er kendt mest for sine infiltrations- og rekognosceringsværktøjer, kan forbindelsen være en indikation af hvordan gruppen udvider sit arsenal til at inkludere ransomware,” skrev Trend Micro i et blogindlæg.
For økonomisk motiverede cyberkriminelle kunne et skift i retning af ransomware ses som ønskeligt på grund af mængden af penge, der kan tjenes på kryptering af netværk, som kan nå millioner af dollars.
Det er ikke uden fortilfælde – cybersikkerhedsforskere har tidligere beskrevet, hvordan FIN11, en etableret økonomisk kriminel gruppe, der tidligere fokuserede på phishing- og malware-kampagner, ændrede taktik og skiftede til ransomware-angreb.
MERE OM CYBERSIKKERHED
Ransomware-angribere var rettet mod denne virksomhed. Så opdagede forsvarere noget mærkeligtBosser er tilbageholdende med at bruge penge på cybersikkerhed. Så bliver de hacketRussiske myndigheder fjerner REvil ransomware-bandeDette firma blev ramt af ransomware, men behøvede ikke at betale. Sådan gjorde de detHar vi nået toppen af ransomware? Hvordan internettets største sikkerhedsproblem er vokset, og hvad sker der derefter Security TV | Datastyring | CXO | Datacentre