【安全资讯】White Rabbit勒索软件疑似与FIN8组织有关

引言

2021年12月，一个名为“White Rabbit”的新勒索软件家族攻击了美国当地一家银行。研究表明，White Rabbit与FIN8 APT组织存在联系。FIN8 是一个出于经济动机的威胁组织，多年来一直以金融组织为目标发起攻击。

简况

White Rabbit 的负载文件大小为 100 KB，需要在命令行执行时输入密码才能解密恶意负载。White Rabbit勒索软件在隐藏恶意活动时借鉴了更成熟的勒索软件家族Egregor。

勒索软件程序本身并不复杂，White Rabbit 使用双重勒索并威胁其目标，赎金记录如下图：

White Rabbit扫描设备上的所有文件夹并加密目标文件，为加密的每个文件创建一个注释，附有“.scrypt.txt”。例如，一个名为 test.txt 的文件将被加密为 test.txt.scrypt ，并创建一个名为test.txt.scrypt.txt的赎金记录。在勒索软件例程之前，该恶意软件还会终止多个进程和服务，尤其是与防病毒相关的进程和服务。White Rabbit会加密可移动驱动器和网络驱动器，但不加密Windows 系统文件夹，以防止操作系统无法使用。

受害者支付赎金的最后期限设置为四天，随后勒索团伙威胁称要将被盗数据发送给数据保护机构，使受害公司被处罚。

此次攻击相关的恶意 URL 与名为 FIN8 的 APT 组织有关。White Rabbit 也使用了新的 Badhatch 版本，这是一个与 FIN8 相关的后门。

总结

White Rabbit 可能仍处于开发阶段，但具有高度针对性并使用双重勒索方法，因此值得关注。目前，研究人员仍在确定 FIN8 和 White Rabbit 是否确实相关，或者是否属于同一开发者。