Finansal olarak motive olmuş FIN8 aktörü, büyük olasılıkla, “adlı daha önce hiç görülmemiş bir fidye yazılımı türüyle yeniden ortaya çıktı.Beyaz Tavşan” bu, yakın zamanda Aralık 2021’de ABD’deki yerel bir bankaya karşı konuşlandırıldı.
Bu, Trend Micro tarafından yayınlanan ve kötü amaçlı yazılımın Şubat 2021’de Ukrayna kolluk kuvvetleri tarafından kaldırılan Egregor ile örtüştüğüne işaret eden yeni bulgulara göre.
Araştırmacılar, “Beyaz Tavşan saldırısının en dikkate değer yönlerinden biri, yük ikili dosyasının dahili yapılandırmasının şifresini çözmek ve fidye yazılımı rutinine devam etmek için belirli bir komut satırı parolası gerektirmesidir.” kayıt edilmiş. “Bu kötü amaçlı etkinliği gizleme yöntemi, fidye yazılımı ailesi Egregor’un kötü amaçlı yazılım tekniklerini analizden gizlemek için kullandığı bir hiledir.”
Eylül 2020’de operasyonları büyük bir darbe alana kadar faaliyete geçen Egregor’un, Labirentin yeniden doğuşu, bu yıl sonra suç girişimini kapattı.
White Rabbit, Egregor’un oyun kitabından bir sayfa çıkarmanın yanı sıra, çifte gasp planına bağlı kalıyor ve tehdit aktörleri tarafından keşif yapmak, sızmak ve kötü niyetli yükleri düşürmek için kullanılan bir sömürü sonrası çerçeve olan Kobalt Strike aracılığıyla teslim edildiğine inanılıyor. etkilenen sistem.
Şimdi öde ya da ihlal olarak da bilinen çifte gasp, şifreleme rutini başlatılmadan önce hedeflerden gelen değerli verilerin sızdırıldığı ve ardından kurbanlara ödeme yapmaları için baskı uyguladığı, giderek daha popüler hale gelen bir fidye yazılımı stratejisini ifade eder. çalınan bilgilerin internette yayınlanması.
Nitekim, şifreleme işleminin tamamlanmasından sonra görüntülenen fidye notu, mağduru, taleplerinin karşılanması için dört günlük süre geçtikten sonra verilerinin yayınlanacağı veya satılacağı konusunda uyarır. Not, “Verileri tüm ilgili denetleyici kuruluşlara ve medyaya da göndereceğiz” diye ekliyor.
Beyaz Tavşan’ın dahil olduğu gerçek dünya saldırıları son zamanlarda dikkat çekmiş olsa da, izini bir araya getiren dijital adli tıp ipuçları, Temmuz 2021’de başlayan bir dizi kötü amaçlı faaliyete işaret ediyor.
Dahası, Ağustos 2021’e kadar uzanan fidye yazılımı örneklerinin analizi, kötü amaçlı yazılımın, Bitdefender’ın geçen yıl aktif olarak geliştirilmiş bir kötü amaçlı yazılım olarak tanımladığı Sardonic arka kapısının güncellenmiş bir versiyonu olduğunu gösteriyor. Biz
Siber güvenlik şirketi Lodestone, “Beyaz Tavşan grubu ile FIN8 arasındaki kesin ilişki şu anda bilinmiyor” söz konusu, “Beyaz Tavşan’ın, FIN8’den bağımsız olarak çalışıyorsa, daha yerleşik tehdit grubuyla yakın bir ilişkisi olduğunu veya onları taklit ettiğini öne süren bir dizi TTP” bulduğunu da sözlerine ekledi.
Trend Micro, “FIN8’in çoğunlukla sızma ve keşif araçlarıyla bilindiği düşünüldüğünde, bağlantı, grubun cephaneliğini fidye yazılımlarını içerecek şekilde nasıl genişlettiğinin bir göstergesi olabilir.” Dedi. “Şimdiye kadar Beyaz Tavşan’ın hedefleri azdı, bu da hala suları test ettikleri veya büyük ölçekli bir saldırı için ısındıkları anlamına gelebilir.”
.
siber-2