Yakın zamanda doğada ‘Beyaz Tavşan’ adlı yeni bir fidye yazılımı ailesi ortaya çıktı ve son araştırma bulgularına göre, FIN8 hack grubunun bir yan operasyonu olabilir.
FIN8, birkaç yıldır finansal kuruluşları hedef aldığı tespit edilen finansal olarak motive olmuş bir aktördür. POS kötü amaçlı yazılımını dağıtma kredi kartı bilgilerini çalabilir.
Çifte gasp sağlamak için basit bir araç
Beyaz Tavşan fidye yazılımından ilk kez, fidye yazılımı uzmanı Michael Gillespie’nin kötü amaçlı yazılımdan bir örnek arayan bir tweet’inde bahsedildi.
#Fidye yazılımı Av: “.scrypt” uzantılı “Beyaz Tavşan”, kurbana özel bilgilerle “.scrypt.txt” ile şifrelenmiş her dosya için not bırakır: https://t.co/ZjVay8A3Ch
“Beyaz tavşanı takip et…” pic.twitter.com/lhzHi5t1KK— Michael Gillespie (@demonslay335) 14 Aralık 2021
Trend Micro tarafından hazırlanan yeni bir raporda araştırmacılar, Aralık 2021’de bir ABD bankasına yapılan saldırı sırasında elde edilen Beyaz Tavşan fidye yazılımının bir örneğini analiz ediyor.
Yürütülebilir fidye yazılımı, 100 KB boyutunda küçük bir yüktür ve kötü amaçlı yükün şifresini çözmek için komut satırı yürütülürken bir parola girilmesini gerektirir.
Kötü amaçlı yükü yürütmek için bir parola daha önce Egregor, MegaCortex ve SamSam.
Doğru parola ile çalıştırıldığında, fidye yazılımı cihazdaki tüm klasörleri tarayacak ve hedeflenen dosyaları şifreleyerek şifrelediği her dosya için fidye notları oluşturacaktır.
Örneğin, test.txt adlı bir dosya şu şekilde şifrelenir: test.txt.scryptve adında bir fidye notu oluşturulur. test.txt.scrypt.txt.
Bir cihazı şifrelerken, çıkarılabilir ve ağ sürücüleri de hedeflenir ve işletim sisteminin kullanılamaz hale getirilmesini önlemek için Windows sistem klasörleri şifrelemeden çıkarılır.
Fidye notu, mağdura dosyalarının çalındığını bildirir ve talepler karşılanmazsa çalınan verileri yayınlamak ve/veya satmakla tehdit eder.
Mağdurun fidye ödemesi için son tarih dört gün olarak belirlendi, ardından aktörler çalınan verileri veri koruma yetkililerine göndermekle tehdit ederek veri ihlali GDPR cezalarına yol açtı.
Çalınan dosyaların kanıtları ‘yapıştır’ gibi servislere yüklenir.[.]com’ ve ‘dosya[.]io,’ kurbana bir Tor müzakere sitesinde oyuncularla canlı sohbet iletişim kanalı sunulur.
Tor sitesi, çalınan verilerin kanıtını görüntülemek için kullanılan bir ‘Ana sayfa’ ve aşağıda gösterildiği gibi kurbanın tehdit aktörleriyle iletişim kurabileceği ve bir fidye talebini görüşebileceği bir Sohbet bölümü içerir.
FIN8 bağlantıları
Belirtildiği gibi Trend Mikro raporuFIN8 ile ‘Beyaz Tavşan’ı birbirine bağlayan kanıt, fidye yazılımının dağıtım aşamasında bulunur.
Daha spesifik olarak, yeni fidye yazılımı, Badhatch’in daha önce hiç görülmemiş bir sürümünü kullanır (aka “sardonik“), FIN8 ile ilişkili bir arka kapı.
Tipik olarak, bu aktörler özel arka kapılarını kendilerine saklar ve bunları özel olarak geliştirmeye devam eder.
Bu bulgu, aynı fidye yazılımı ailesi hakkında Lodestone araştırmacıları tarafından üstlenilen farklı bir raporla da doğrulandı.
Onlar da Badhatch’i ‘Beyaz Tavşan’ saldırılarında bulurken, geçen yaz FIN8 ile ilişkili etkinliğe benzer PowerShell eserlerini de fark ettiler.
Olarak mıknatıs taşı raporu şu sonuca varıyor: “Lodestone, Beyaz Tavşan’ın FIN8’den bağımsız olarak çalışıyorsa, daha yerleşik tehdit grubuyla yakın bir ilişkisi olduğunu veya onları taklit ettiğini öne süren bir dizi TTP belirledi.”
White Rabbit şimdilik kendisini yalnızca birkaç kuruluşu hedef almakla sınırladı, ancak gelecekte şirketler için ciddi bir tehlikeye dönüşebilecek yeni bir tehdit olarak görülüyor.
Bu noktada, aşağıdaki gibi standart fidye yazılımı önleme önlemleri alınarak kontrol altına alınabilir:
- Çapraz katmanlı algılama ve yanıt çözümleri dağıtın.
- Saldırı önleme ve kurtarma için bir olay müdahalesi başucu kitabı oluşturun.
- Boşlukları belirlemek ve performansı değerlendirmek için fidye yazılımı saldırısı simülasyonları gerçekleştirin.
- Yedekleme gerçekleştirin, yedeklemeleri test edin, yedeklemeleri doğrulayın ve çevrimdışı yedeklemeleri saklayın.