FIN8-hackergroep gebruikt nieuwe White Rabbit-malware

Trend Micro-experts bestudeerd een voorbeeld van de nieuwe White Rabbit-malware die is verkregen tijdens een onderzoek naar een aanval op een Amerikaanse bank in december 2021. Blijkbaar, deze malware kan deel uitmaken van een nevenoperatie van de FIN8-hackergroep.

FIN8 is actief sinds in ieder geval januari 2016 en staat bekend om zijn aanvallen op de detailhandel, restaurants, gastvrijheid, en gezondheidszorg om betaalkaartgegevens van kassasystemen te stelen. Door de jaren heen, onderzoekers hebben een verscheidenheid aan tools en tactieken waargenomen in het arsenaal van FIN8, variërend van verschillende POS-malware, inclusief BadHatch, PoSlurp (PunchTrack), PowerSniff (PunchBuggy, ShellThee), tot zero-day kwetsbaarheden en gerichte phishing.

Het uitvoerbare bestand van de nieuwe malware is een klein 100 kb laadvermogen. Er moet een wachtwoord worden ingevoerd om de kwaadaardige lading te ontsleutelen. Het is opmerkelijk dat hetzelfde wachtwoord eerder werd gebruikt bij het werk van andere ransomware, inclusief Egregor, MegaCortex en SamSam.

Eenmaal gestart met het juiste wachtwoord, de ransomware scant alle mappen op het apparaat en versleutelt de doelbestanden, een losgeldbrief maken voor elk versleuteld bestand. De notitie informeert het slachtoffer dat hun bestanden zijn gestolen en versleuteld, en de aanvallers dreigen de gestolen gegevens te publiceren of te verkopen als hun eisen niet worden ingewilligd.

We sturen ook gegevens [over wat er is gebeurd] aan alle geïnteresseerde regelgevende organisaties en de media.de hackers toevoegen.

nieuwe malware White Rabbit

Bewijs van bestandsdiefstal wordt geüpload naar services zoals plakken[.]com en bestand[.]I, en slachtoffers worden aangemoedigd om contact op te nemen met de hackers via een speciale site op het dark web.

Experts merken op dat bewijs van een verband tussen FIN8 en wit konijn wordt zelfs ontdekt in het stadium van ransomware-implementatie. Zo, de malware gebruikt een nieuwe en voorheen onbekende versie van de Badhatch-achterdeur (ook gekend als sardonisch) geassocieerd met FIN8.

Hoewel de White Rabbit-aanvallen pas recent de aandacht van experts hebben getrokken en slechts enkele organisaties hebben getroffen, het lijkt erop dat de hackeractiviteit al in juli begon 2021.

Aangezien FIN8 vooral bekend staat om zijn infiltratie- en verkenningstools, het is waarschijnlijk dat de groep zijn arsenaal aan het uitbreiden is met ransomware. White Rabbit heeft tot nu toe weinig slachtoffers gemaakt, maar dit zou kunnen betekenen dat de hackers nog steeds de wateren aan het testen zijn of zich voorbereiden op een grootschalige aanval.Trend Micro zei.

Misschien ben je ook geïnteresseerd om te weten wat? Linux-malware, CronRAT, verstopt zich in een cronjob met onjuiste datums, en wat Nieuw MeesterFred malware doelen Netflix, Instagram en tjilpen gebruikers.

Helga Smith

Ik was altijd al geïnteresseerd in informatica, vooral gegevensbeveiliging en het thema, die tegenwoordig heet "datawetenschap", sinds mijn vroege tienerjaren. Voordat je als hoofdredacteur bij het Virus Removal-team komt, Ik heb bij verschillende bedrijven als cybersecurity-expert gewerkt, waaronder een van Amazon's aannemers. Nog een ervaring: Ik heb les aan de universiteiten van Arden en Reading.

Laat een antwoord achter

Deze website maakt gebruik van Akismet om spam te verminderen. Leer hoe je reactie gegevens worden verwerkt.

Terug naar boven knop