White Rabbit と呼ばれる新しいランサムウェア登場:金融を狙う FIN8 の亜種なのか?

New White Rabbit ransomware linked to FIN8 hacking group

2022/01/18 BleepingComputer — 最近のことだが、White Rabbit と呼ばれる新しいランサムウェア・ファミリーが登場した。最新の研究結果によると、この活動はハッキング・グループ FIN8 の副次的なものだという可能性が生じている。FIN8 は、数年前から金融機関を標的にし、主にクレジット・カード情報を盗むための、POS マルウェアの展開が明らかになっている、金銭的動機を持った脅威アクターである。

二重搾取を可能にするシンプルなツール

ランサムウェア White Rabbit が公知のとなったのは、ランサムウェア専門家である Michael Gillespie が、このマルウェアのサンプルを求めるツイートを発信したときだ。Trend Micro の新しいレポートでは、2021年12月に米国の銀行への攻撃で入手した White Rabbit サンプルを、研究者たちが分析しているとのことだ。このランサムウェアの実行ファイルは 100KB の小さなペイロードであり、悪意のペイロードを復号化するためには、コマンドライン実行時にパスワードの入力が必要となる。

悪意のペイロードを実行するためのパスワードは、他のランサムウェア Egregor/MegaCortex/SamSam などでも、以前に使用されていたものだ。正しいパスワードによりペイロードが実行されると、デバイス上の全フォルダがスキャンされ、ターゲットとなるファイルが暗号化され、暗号化された各ファイルに対して身代金メモが作成される。

たとえば、test.txt というファイルは test.txt.scrypt という名前で暗号化され、test.txt.scrypt.txt という名前の身代金請求書が作成される。デバイスを暗号化する際には、リムーバブル・ドライブやネットワーク・ドライブも対象となるが、OS が使えなくなるのを防ぐために、Windows のシステム・フォルダは暗号化の対象外となる。

身代金請求書により、被害者にファイル流出を知らせ、要求に応じない場合は、流出したデータを公開または販売すると脅迫する。被害者が身代金を支払う期限は4日間に設定されており、それを過ぎれば、盗んだデータをデータ保護当局に送付すると脅される。そうなると、データ漏洩による GDPR の罰則を受けることにもなる。

盗まれたファイルの証拠は、paste[.]com や file[.]io などのサービスにアップロードされ、被害者は Tor の交渉サイトにおいて、脅威アクターとのライブチャット・コミュニケーション・チャネルを提供される。Tor サイトには、盗まれたデータの証拠を表示する「メインページ」と、被害者が脅威の行為者とコミュニケーションを取り、身代金を交渉するための「チャット」のセクションがある。

FIN8 へのリンク

Trend Micro のレポートにあるように、FIN8 と White Rabbit を結びつける証拠は、このランサムウェアの展開段階にある。具体的には、この斬新なランサムウェアは、FIN8 に関連するバックドアである Badhatch (Sardonic) の、これまでに観測されていないバージョンを使用している。通常、これらの脅威アクターは、カスタム・バックドアを自分たちだけのものとし、非公開で開発を続けている。

この発見は、Lodestone の研究者たちが、同じランサムウェア・ファミリーに関する別レポートでも確認されている。Lodestone の研究者たちも、White Rabbit 攻撃の中で Badhatch を発見している。また、昨年の夏に、FIN8 に関連する PowerShell のアーティファクトを発見している。

Lodestone のレポートは、「White Rabbit は、FIN8 とは別に活動しているとしても、自身よりも確立された脅威グループと、密接な関係を持っていると思われる。また、それらの脅威グループを模倣しているのかもしれない。そのような状況を示唆する、多数の TTP を確認した」と結論づけている。

現状において、White Rabbit が標的にしている企業は限られているが、将来的には、より多くの企業にとって、深刻な脅威となる可能性もある。以下のような標準的なランサムウェア対策を講じることで、いまの White Rabbit は食い止められる。

  • クロス・レイヤーの検知/対応ソリューションを導入する。
  • インシデント・レスポンス・プレイブックを作成し、攻撃の予防と回復に役立てる。
  • ランサムウェア攻撃のシミュレーションを行い、ギャップを特定してパフォーマンスを評価する。
  • バックアップの実行/試験/検証と、オフラインでのバックアップ保存を実施する。

FIN8 を検索してみたら、2021年8月の「FIN8 の最新バックドアは金融分野がターゲット?」という記事がありました。そこでは、「2016年1月に登場して以来、FIN8 は、POS システムからペイメント・カード情報などを盗み出してきた。この脅威グループは、作戦の合間に長期休暇を取り、戦術を微調整して作戦の成功率を高めることで知られている」と説明されています」と説明されています。また、今日の記事では、「100KB の小さなペイロード」という部分が気になります。White Rabbit は、なかなか手ごわい相手のようですね。

%d bloggers like this: