FIN8-hakkeriryhmä käyttää uutta White Rabbit -haittaohjelmaa
Trend Micron asiantuntijat opiskellut näyte uudesta White Rabbit -haittaohjelmasta, joka saatiin yhdysvaltalaisen pankin hyökkäyksen tutkinnan aikana joulukuussa 2021. Ilmeisesti, tämä haittaohjelma voi olla osa FIN8-hakkeriryhmän sivutoimintoa.
FIN8 on ollut aktiivinen ainakin tammikuusta lähtien 2016 ja se tunnetaan hyökkäämisestä vähittäiskauppaan, ravintolat, vieraanvaraisuus, ja terveydenhuolto varastaa maksukorttitietoja kassajärjestelmistä. Vuosien saatossa, tutkijat ovat havainneet FIN8:n arsenaalissa erilaisia työkaluja ja taktiikoita, vaihtelevat erilaisista POS-haittaohjelmista, mukaan lukien BadHatch, PoSlurp (PunchTrack), PowerSniff (PunchBuggy, ShellTea), kohteeseen nollapäivän haavoittuvuuksia ja kohdistettua tietojenkalastelua.
Uuden haittaohjelman suoritettava tiedosto on pieni 100 kb hyötykuorma. Se vaatii salasanan syöttämisen haitallisen hyötykuorman salauksen purkamiseksi. On huomionarvoista, että samaa salasanaa käytettiin aiemmin muiden kiristysohjelmien toiminnassa, mukaan lukien Egregor, MegaCortex ja SamSam.
Kun se on käynnistetty oikealla salasanalla, kiristysohjelma skannaa kaikki laitteen kansiot ja salaa kohdetiedostot, luomalla lunnaat jokaiselle salatulle tiedostolle. Muistiossa kerrotaan uhrille, että hänen tiedostonsa varastettiin ja salattiin, ja hyökkääjät uhkaavat julkaista tai myydä varastetut tiedot, jos heidän vaatimuksiaan ei täytetä.
Todisteet tiedostovarkauksista ladataan palveluihin, kuten liitä[.]com ja tiedosto[.]minä, ja uhreja rohkaistaan ottamaan yhteyttä hakkereihin erityisen pimeän verkon sivuston kautta.
Asiantuntijat panevat merkille, että näyttöä FIN8:n ja valkoinen jänis havaitaan jopa ransomwaren käyttöönottovaiheessa. Niin, haittaohjelma käyttää uutta ja aiemmin tuntematonta versiota Badhatchin takaovesta (tunnetaan myös Ivallinen) liittyy FIN8:aan.
Vaikka White Rabbit -hyökkäykset ovat vasta äskettäin herättäneet asiantuntijoiden huomion ja ovat onnistuneet vaikuttamaan vain muutamaan organisaatioon, näyttää siltä, että hakkeritoiminta alkoi jo heinäkuussa 2021.
Saatat myös olla kiinnostunut tietämään mitä Linux-haittaohjelma, CronRAT, piileskelee cron-työssä virheellisillä päivämäärillä, ja mitä Uusi Mestari Fred haittaohjelmakohteet Netflix, Instagram ja Viserrys käyttäjiä.