به گزارش کارگروه حملات سایبری سایبربان؛ یک خانواده باج افزاری جدید به نام White Rabbit (خرگوش سفید) اخیرا در حملات شناسایی شده است و طبق آخرین یافته ها، به گروه هکری FIN8 مرتبط می باشد.
FIN8 یک گروه هکری است که سال هاست از طریق استفاده از بدافزار نقطه فروش، سازمان های مالی را مورد هدف قرار می دهد و جزئیات کارت بانکی قربانیان را به سرقت می برد.
متخصصی باج افزاری به نام میشل گیلسپای اولین کسی بود که به صورت عمومی به این باج افزار اشاره کرد.
در گزارش جدید ترند میکرو، محققین نمونه ای از باج افزار خرگوش سفید را مورد بررسی قرار دادند که در حمله دسامبر 2021 به یک بانک آمریکایی تهیه شده بود.
فایل اجرایی این باج افزار، پی لود کوچکی است (فایلی به حجم 100 کیلو بایت) که رمزگشایی پی لود مخرب آن، مستلزم ورود گذرواژه در اجرای خط فرمان می باشد.
پسورد اجرا کننده پی لود مخرب، پیش از این توسط دیگر گروه های باج افزاری مانند Egregor (اگرِگور)، MegaCortex (مگا کورتکس) و SamSam (سَم سَم) مورد استفاده قرار گرفته است.
در صورت اجرای پسورد صحیح، باج افزار خرگوش سفید تمامی پوشه های موجود بر روی دستگاه را اسکن، فایل های هدف را رمزنگاری و برای هر کدام از این فایل ها یادداشت باج خواهی ایجاد می کند.
مهاجمین در یاداداشت های باج خواهی به قربانیان هشدار می دهند در صورت عدم پرداخت باج، داده ها و فایل های سرقت شده آن ها را منتشر می کنند یا به فروش می رسانند. مهلت پرداخت باج 4 روز خواهد بود.
طبق گزارش ترند میکرو، ارتباطاتی در مرحله استقرار باج افزار، میان خرگوش سفید و گروه هکری FIN8 مشاهده شده است. این باج افزار از نسخه تا به حال دیده نشده ای از در پشتی Badhatch (بد هَچ) استفاده می کند که به گروه FIN8 مرتبط است.
خرگوش سفید در حال حاضر نهادهای کوچکی را مورد هدف قرار می هد اما از آن می توان به عنوان یه خطر جدی پیش بینی شده برای شرکت ها نام برد.
