Группировка FIN8 обзавелась собственным вымогательским ПО White Rabbit

[Artifact]

Ранее FIN8 использовала в атаках преимущественно вредоносное ПО для POS-терминалов.

Специалисты ИБ-компании Trend Micro обнаружили новое семейство вымогательского ПО, получившее название White Rabbit, которое, по их мнению, может быть побочной операцией FIN8.
FIN8 – финансово мотивированная киберпреступная группа, уже в течение нескольких лет атакующая финансовые организации, в основном с помощью вредоносного ПО для POS-терминалов, похищающего данные кредитных карт.
Первым публичным упоминанием White Rabbit является твит ИБ-эксперта Майкла Гиллеспи (Michael Gillespie), в котором он просит предоставить ему образец для анализа.
Исследователи из Trend Micro проанализировали образец White Rabbit, полученный после атаки на один из банков в США в декабре 2021 года.
Исполняемый файл вымогателя представляет собой небольшую полезную нагрузку размером всего 100 КБ, и для ее расшифровки требуется ввести пароль в командную строку. После выполнения White Rabbit сканирует все папки на устройстве и шифрует файлы, создавая для каждого из них отдельную записку с требованием выкупа. Например, после шифрования файл с именем test.txt станет test.txt.scrypt, и для него будет создана записка с именем файла test.txt.scrypt.txt.
Вредонос также шифрует съемные и сетевых хранилища, но системные папки Windows не трогает, чтобы операционная система продолжала работать.
В записке с требованием выкупа жертве сообщается о том, что ее файлы были похищены, и, если она не выполнит требования, они будут опубликованы и/или проданы. На выполнение требований дается четыре дня, после чего злоумышленники угрожают отправить похищенные данные регулирующим органам в области защиты данных, и жертва рискует получить обвинение в нарушении «Общего регламента по защите данных» (GDPR).
Согласно записке, жертва должна связаться с вымогателями через чат на их сайте в сети Tor.
Специалисты обнаружили возможную связь между FIN8 и White Rabbit на этапе разработки вымогательского ПО. Так, в нем используется никогда ранее не встречавшаяся версия бэкдора Badhatch (он же Sardonic) из арсенала FIN8. Как правило, группировки наподобие FIN8 не делятся своими инструментами и регулярно их совершенствуют.
На данный момент White Rabbit атаковал всего несколько организаций, но уже считается развивающейся угрозой, которая может принести немалый ущерб компаниям в будущем.