عاودت شركة FIN8 ذات الدوافع المالية إلى نشر سلسلة من هجمات برامج الفدية الخبيثة لم يسبق لها مثيل تسمى الأرنب الأبيض White Rabbit.
وبحسب ما ذكره موقع "thehackernews"، رصد خبراء الأمن السيبراني فيروس يدعى الأرنب الأبيض، وهو نوع جديد من عائلة برمجيات الفدية الخبيثة، يستخدم تقنيات سرية تسمي Egregor، تمكنه من إخفاء نشاطهم الضار على الأجهزة دون الكشف عنه قبل تشفير الملفات ومطالبة الضحية بالدفع مقابل مفتاح فك التشفير.
ما هو فيروس "الأرنب الأبيض" أخطر أنواع عائلة الفدية الخبيثة؟
ووفقا لباحثي الأمن السيبراني في Trend Micro"، فإن أحد أبرز جوانب هجوم الأرنب الأبيض هو أن ملف الحمولة الثنائية الخاص بالفيروس يتطلب كلمة مرور محددة لسطر الأوامر لفك تشفير التكوين الداخلي الخاص به، والتي تعمل بعد تثبيتها على الأجهزة المصابة على تنفيذ أوامر برمجية الفدية الخبيثة المعتادة.
وهذه الطريقة يستخدمها الأرنب الأبيض لإخفاء نشاطه الضار، وهي خدعة تستخدمها مجموعة برامج الفدية Egregor لإخفاء تقنيات البرامج الضارة من التحليل، والتي تقوم بتحميل ملفا صغيرا يبلغ حوالي 100 كيلوبايت إلى الأجهزة المستهدفة، دون سلاسل ملحوظة أو نشاط لن يمكن اكتشافه بسهولة بدون كلمة المرور الصحيحة والتي لا يعرفها إلا منفذ الهجوم.
ويشار إلى أن الابتزاز المزدوج "الأرنب الأبيض" يستخدم تكتيك يعرف أيضا باسم "الدفع الآن أو الحصول على الخرق"، والذي يستخدم استراتيجية برامج الفدية الشائعة بشكل متزايد والتي يتم فيها الاستيلاء على البيانات القيمة من الأهداف قبل إطلاق روتين التشفير على الشبكة المخترقة، متبوعا بأسلوب ابتزاز للضحايا لدفع فدية لمنع فضح المعلومات المسروقة ونشرها على الإنترنت.
ويظهر القياس الداخلي للفيروسات الخبيثة التي أطلق عليها الخبراء اسم "الأرنب الأبيض"، آثار أوامر Cobalt Strike التي ربما تم استخدامها لاستكشاف وتسلل وإسقاط الحمولة الخبيثة في النظام المتأثر.
وأشار باحثون من لودستون إلى أن عنوان URL الخبيث المرتبط بالهجوم مرتبط أيضا بمجموعة APT المسماة FIN8، والتي تم اكتشافها لأول مرة في ديسمبر 2021 بهجوم على بنك أمريكي.
فيروس الفدية الجديد "الأرنب الأبيض" مرتبط بمجموعة هاكرز شهيرة تدعي FIN8، ظهرت لأول مرة في عام 2016، وتستهدف عادة أنظمة نقاط البيع POS بهجمات البرامج الخبيثة المصممة لسرقة معلومات بطاقات الائتمان.