Nhóm hacker FIN8 bị phát hiện sử dụng phần mềm ransomware ‘White Rabbit’ mới trong các cuộc tấn công gần đây

Nhóm hacker với mục đích tài chính FIN8 rất có thể đã tái xuất với một chủng ransomware hoàn toàn mới với tên gọi “White Rabbit”. Ransomware này đã được triển khai nhắm vào một ngân hàng địa phương ở Mỹ vào tháng 12/2021.



Đây là giả thiết được đặt ra theo những phát hiện mới được công bố bởi Trend Micro. Họ chỉ ra những sự trùng lặp của mã độc này với Egregor – đã bị các cơ quan hành pháp của Ukraine đánh sập vào tháng 2/2021.



Các chuyên gia cho biết : “Một trong những khía cạnh đáng chú ý nhất của cuộc tấn công sử dụng White Rabbit là cách tệp nhị phân của nó yêu cầu một mật khẩu cụ thể đặt bằng dòng lệnh để có thể giải mã cấu hình bên trong và tiến hành phát tán ransomware . Phương pháp che giấu hoạt động này là một thủ thuật mà chủng ransomware Egregor sử dụng để tránh việc phân tích các kỹ thuật malware”.



Egregor bắt đầu hoạt động vào tháng 9/2020 cho đến khi đạt được những thành công lớn, được nhiều người cho là sự tái sinh của Maze. Tuy nhiên nó đã đóng cửa doanh nghiệp tội phạm của mình vào cuối năm đó.



Bên cạnh việc bắt chước Egregor, White Rabbit còn thực hiện các kế hoạch tống tiền kép và được cho là đã được phát tán thông qua Cobalt Strike, một khung hậu khai thác được các kẻ xấu sử dụng để dò lại, xâm nhập và phát tán mã độc vào các hệ thống bị ảnh hưởng.



Tống tiền kép, hay còn được gọi là pay-now-or-get-breached (trả tiền ngay hoặc bị xâm nhập) là một chiến lược ransomware ngày càng phổ biến, trong đó dữ liệu có giá trị từ của mục tiêu bị trích xuất trước khi bắt đầu mã hóa. Sau đó hacker sẽ gây áp lực buộc nạn nhân phải trả tiền để thông tin bị đánh cắp không bị phát tán công khai lên mạng.



Thông báo tiền chuộc được hiển thị sau khi quá trình mã hóa dữ liệu được hoàn tất, nó cảnh báo nạn nhân rằng dữ liệu của họ sẽ bị công khai hoặc bán cho người khác sau khi hết thời hạn bốn ngày. “Chúng tôi cũng sẽ gửi dữ liệu tới tất cả các tổ chức có quan tâm và giới truyền thông”, thông báo này cho biết thêm.



Mặc dù các cuộc tấn công trên thực tế liên quan đến White Rabbit chỉ mới được chú ý gần đây, các manh mối từ pháp y kỹ thuật số chỉ ra rằng một chuỗi các hoạt động độc hại đã bắt đầu sớm nhất là từ tháng 7/2021.



Ngoài ra, phân tích các mẫu ransomware có từ tháng 8 năm 2021 cho thấy rằng mã độc này là phiên bản cập nhật của backdoor Sardonic , từng được Bitdefender mô tả là một malware phát triển mạnh mẽ khi họ gặp phải malware này sau một cuộc tấn công thất bại nhắm vào một tổ chức tài chính ở Mỹ.



Công ty an ninh mạn Lodestone cho biết : “Mối quan hệ giữa nhóm White Rabbit và FIN8 hiện vẫn chưa được xác định rõ ràng”. Họ cũng chia sẻ thêm rằng “một số TTP đang gợi ý rằng White Rabbit nếu đang hoạt động độc lập với FIN8 thì rất có khả năng nó liên quan mật thiết đến các nhóm hacker lớn hơn hoặc đang bắt chước họ”.



Trend Micro cho biết: “Do FIN8 được biết đến hầu hết với các công cụ do thám và xâm nhập, đây có thể là một dấu hiệu cho thấy nhóm đang mở rộng kho vũ khí của mình để bao gồm cả ransomware. Cho đến nay mục tiêu của White Rabbit rất ít, điều này có thể có nghĩa là chúng vẫn đang thăm dò hoặc đang chuẩn bị cho một cuộc tấn công quy mô lớn.”



Theo Thehackernews
The post Nhóm hacker FIN8 bị phát hiện sử dụng phần mềm ransomware ‘White Rabbit’ mới trong các cuộc tấn công gần đây appeared first on SecurityDaily .