这个出于经济动机的FIN8行为者很可能已经重新出现了一种前所未有的勒索软件,称为”白兔“,该勒索软件最近在2021年12月针对美国一家当地银行进行了部署。
这是根据趋势科技发布的新发现,指出该恶意软件与Egregor重叠,Egregor于2021年2月被乌克兰执法部门删除。
“白兔攻击最值得注意的方面之一是其有效载荷二进制文件如何需要特定的命令行密码来解密其内部配置并继续其勒索软件例程,”研究人员指出。”这种隐藏恶意活动的方法是勒索软件家族Egregor用来隐藏恶意软件技术进行分析的技巧。
Egregor于2020年9月开始运营,直到其运营受到巨大打击,被广泛认为是Maze的转世,该迷宫在当年晚些时候关闭了其犯罪活动。
除了从Egregor的剧本中摘取一片叶子之外,White Rabbit还坚持双重勒索计划,并且被认为是通过Cobalt Strike提供的,Cobalt Strike是一种开发后框架,威胁行为者使用它来侦察,渗透和投放恶意有效载荷到受影响的系统中。
双重勒索,也称为立即付费或违规,是指一种越来越流行的勒索软件策略,其中在启动加密程序之前泄露来自目标的宝贵数据,然后迫使受害者付费以防止被盗信息在网上发布。
事实上,加密过程完成后显示的赎金票据警告受害者,一旦四天期限过去,他们的数据将被发布或出售,以满足他们的要求。”我们还将把数据发送给所有感兴趣的监督组织和媒体,”该说明补充说。
尽管涉及白兔的真实世界攻击直到最近才引起人们的关注,但将其线索拼凑在一起的数字取证线索指向早在2021年7月就开始的一系列恶意活动。
更重要的是,对可追溯到2021年8月的勒索软件样本的分析表明,该恶意软件是Sardonic后门的更新版本,Bitdefender去年将其描述为在针对美国金融机构的攻击失败后遇到的积极开发的恶意软件。
“白兔组织与FIN8之间的确切关系目前尚不清楚,”网络安全公司Lodestone说,并补充说,它发现”许多TTP表明,如果白兔独立于FIN8运营,与更成熟的威胁组织有着密切的关系,或者正在模仿它们。
“鉴于FIN8主要以其渗透和侦察工具而闻名,这种联系可能表明该组织如何扩大其武器库以包括勒索软件,”趋势科技说。”到目前为止,白兔的目标很少,这可能意味着他们仍在试水或为大规模攻击做准备。
来源:网安老葫
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!