على الأرجح ، عادت مجموعة الاختراق FIN8 ذات الدوافع المالية إلى الظهور بسلسلة من برامج الفدية لم يسبق لها مثيل تسمى "White Rabbit" والتي تم نشرها مؤخرًا ضد بنك محلي في الولايات المتحدة في ديسمبر 2021.
هذا وفقًا للنتائج الجديدة التي نشرتها Trend Micro، والتي تستدعي تداخل البرامج الضارة مع Egregor، والتي تم إزالتها من قبل سلطات إنفاذ القانون الأوكرانية في فبراير 2021.
وأشار الباحثون إلى أن "أحد أبرز جوانب هجوم White Rabbit هو كيف أن ملف الحمولة الثنائي يتطلب كلمة مرور محددة لسطر الأوامر لفك تشفير التكوين الداخلي الخاص به والمضي قدمًا في روتين برامج الفدية". "هذه الطريقة لإخفاء النشاط الضار هي خدعة تستخدمها مجموعة برامج الفدية Egregor لإخفاء تقنيات البرامج الضارة من التحليل."
النسخ الاحتياطية التلقائية على GitHub:
يُعتقد على نطاق واسع أن Egregor ، التي بدأت عملياتها في سبتمبر 2020 حتى تلقت عملياتها ضربة هائلة ، هي تجسيد لـ Maze ، التي أغلقت مشروعها الإجرامي في وقت لاحق من ذلك العام.
إلى جانب أخذ ورقة من كتاب اللعب Egregor ، يلتزم White Rabbit بمخطط الابتزاز المزدوج ويعتقد أنه تم تسليمه عبر Cobalt Strike ، وهو إطار عمل بعد الاستغلال يتم استخدامه من قبل الجهات الفاعلة في التهديد لاستكشاف ، والتسلل ، وإسقاط الحمولات الخبيثة في النظام المصاب.
ارنب ابيض:
يشير الابتزاز المزدوج ، المعروف أيضًا باسم الدفع الآن أو الحصول على الانتهاك ، إلى إستراتيجية برامج الفدية الشائعة بشكل متزايد والتي يتم فيها اختراق البيانات القيمة من الأهداف قبل إطلاق روتين التشفير ، متبوعًا بالضغط على الضحايا للدفع لمنع المعلومات المسروقة من النشر على الإنترنت.
وبالفعل ، فإن مذكرة الفدية التي تظهر بعد إتمام عملية التشفير تحذر الضحية من أنه سيتم نشر بياناتها أو بيعها بمجرد انقضاء مهلة الأربعة أيام لتلبية مطالبهم. وتضيف المذكرة "سنرسل البيانات أيضًا إلى جميع المنظمات الإشرافية ووسائل الإعلام المهتمة".
منع خروقات البيانات:
على الرغم من أن الهجمات الواقعية التي تنطوي على White Rabbit قد اكتسبت الاهتمام مؤخرًا فقط ، إلا أن أدلة الطب الشرعي الرقمية تجمع معًا نقطة تتبعها لسلسلة من الأنشطة الخبيثة التي بدأت في وقت مبكر من يوليو 2021.
علاوة على ذلك ، يُظهر تحليل عينات برامج الفدية التي يعود تاريخها إلى أغسطس 2021 أن البرنامج الضار هو نسخة محدثة من Sardonic backdoor ، والذي وصفه Bitdefender العام الماضي بأنه برنامج ضار مطور بشكل نشط تمت مواجهته في أعقاب هجوم غير ناجح استهدف مؤسسة مالية في نحن
قالت شركة لودستون للأمن السيبراني: "العلاقة الدقيقة بين مجموعة White Rabbit Group و FIN8 غير معروفة حاليًا" ، مضيفة أنها وجدت "عددًا من TTPs تشير إلى أن White Rabbit ، إذا كانت تعمل بشكل مستقل عن FIN8 ، لها علاقة وثيقة مع مجموعة التهديد الأكثر رسوخًا. أو يقلدهم ".
وقالت تريند مايكرو: "بالنظر إلى أن FIN8 معروفة في الغالب بأدوات التسلل والاستطلاع ، فقد يكون الاتصال مؤشرًا على كيفية قيام المجموعة بتوسيع ترسانتها لتشمل برامج الفدية". "حتى الآن ، كانت أهداف White Rabbit قليلة ، مما قد يعني أنها لا تزال تختبر المياه أو تستعد لهجوم واسع النطاق."
ليست هناك تعليقات:
إرسال تعليق