Một họ ransomware mới có tên White Rabbit (Thỏ Trắng) vừa được các nhà nghiên cứu phát hiện ra. Theo kết quả nghiên cứu, có thể ransomware này là một hoạt động phụ của nhóm hacker FIN8 khét tiếng.
FIN8 là nhóm chuyên hack vì tiền và thường nhắm vào các tổ chức tài chính. Trong vài năm qua, phương thức tấn công chủ yếu của FIN8 là triển khai phần mềm POS độc hại để đánh cắp thông tin thẻ tín dụng.
Tháng 12/2021, các nhà nghiên cứu của TrendMicro đã thu được một mẫu của ransomware White Rabbit khi nó tấn công vào một ngân hàng tại Mỹ. Phần thực thi ransomware là một payload nhỏ, kích cỡ khoảng 100KB và yêu cầu phải nhập mật khẩu mới cho giải mã payload.
Mật khẩu dùng để thực thi payload độc hại đã được sử dụng trong các chiến dịch ransomware trước đây như Egregor, MegaCortex và SamSam.
Sau khi điền mật khẩu chính xác, ransomware sẽ thực thi, nó quét tất cả thư mục trên thiết bị và mã hóa các tệp mà nó nhắm vào, tạo ghi chú đòi tiền chuộc cho mỗi tệp mà nó mã hóa.
Ví dụ: Một tệp có tên test.txt sẽ được mã hóa thành test.txt.scrypt và ghi chú đòi tiền chuộc sẽ được tạo với tên test.txt.scrypt.txt.
Khi mã hóa thiết bị, ổ cứng di động và ổ lưu trữ qua mạng cũng sẽ bị tấn công. Các file hệ thống của Windows sẽ không bị mã hóa để tránh việc làm hỏng hệ điều hành.
Trong ghi chú đòi tiền chuộc, tội phạm mạng thông báo cho nạn nhân rằng dữ liệu của họ đã bị bóc tách ra. Vì thế, nếu không đáp ứng các yêu cầu về tiền chuộc, tội phạm mạng sẽ đăng tải công khai và/hoặc bán dữ liệu.
Thời hạn cho nạn nhân chuẩn bị tiền chuộc là 4 ngày, nạn nhân có thể liên lạc hoặc thương lượng với những kẻ tấn công qua một trang Tor.
Hiện tại, Thỏ Trắng mới chỉ tấn công vào một số thực thể nhất định. Tuy nhiên, với việc có liên quan tới FIN8, các nhà nghiên cứu lo ngại rằng nó sẽ trở thành một mối đe dọa với nhiều công ty, doanh nghiệp trong tương lai gần.
Tại thời điểm này, Thỏ Trắng có thể bị ngăn chặn bởi các biện pháp chống ransomware tiêu chuẩn như sau:
- Triển khai các giải pháp phát hiện và phản hồi nhiều lớp.
- Tạo một sổ tay phản ứng sự cố để ngăn chặn và phục hồi sau khi bị tấn công.
- Tiến hành mô phỏng các cuộc tấn công ransomware để xác định các lỗ hổng và đánh giá hiệu suất.
- Thực hiện sao lưu, kiểm tra sao lưu, xác minh sao lưu và lưu trữ các bản sao lưu bằng hình thức offline.