Der er set en ny ransomware-familie i naturen. Kaldes White Rabbit, ransomware blev bemærket af Trend Micro-forskere i tavse angreb mod en amerikansk bank i december 2021. Det ser ud til, at truslen bruger en side fra velkendt Egregor ransomware, at skjule sin ondsindede aktivitet. Forskere mener, at White Rabbit er tilknyttet FIN8 APT (Avanceret vedvarende trussel) gruppe.
Relateret læsning: Lazarus APT Hackere stjal $400 millioner i kryptovaluta
Hvad er interessant ved New White Rabbit Ransomware?
"Et af de mest bemærkelsesværdige aspekter af White Rabbits angreb er, hvordan dens binære nyttelast kræver en specifik kommandolinjeadgangskode for at dekryptere dens interne konfiguration og fortsætte med dens ransomware-rutine,” sagde Trend Micro i en rapport.
Denne teknik er blevet brugt af Egregor-operatørerne til at skjule ondsindede aktiviteter fra leverandøranalyse. Ved første øjekast, White Rabbits fil tiltrækker ingen opmærksomhed, med sin lille størrelse på ca 100 KB og ingen bemærkelsesværdige strenge eller aktivitet. Det, der giver væk dens ondsindede karakter, er tilstedeværelsen af strenge til logning. Men, den væsentlige ransomware-adfærd er ikke let at observere uden den korrekte adgangskode.
Trend Micros interne telemetri afslørede spor af Cobalt Strike malware kommandoer, der kunne være blevet brugt til at infiltrere systemet og slippe den krypterende nyttelast. Der er også beviser for, at den ondsindede URL forbundet med White Rabbit-angrebet er relateret til FIN8, en kendt APT-spiller.
Lodestone-forskere bemærkede også, at ransomwaren bruger en hidtil ukendt bagdør kaldet Badhatch, også forbundet med FIN8. Men, forskerne var ikke i stand til at skaffe filer relateret til den URL for at udføre en analyse.
Med hensyn til dens rutine, White Rabbit fungerer som en typisk ransomware. Den udfører også dobbelt afpresning ved at true sine mål med at sælge eller offentliggøre deres stjålne data.
Hvad med White Rabbit Ransomwares kryptering?
For hver krypteret fil, ransomwaren opretter en separat note. Hver note har navnet på den krypterede fil, og er vedlagt følgende udvidelse – .scrypt.txt.
"Før ransomware-rutinen, malwaren afslutter også adskillige processer og tjenester, især antivirus-relaterede,” bemærkede Trend Micro.
Afslutningsvis, forskerne mener, at ransomwaren stadig er under udvikling. "Til trods for at være i denne tidlige fase, dog, det er vigtigt at fremhæve, at det bærer de besværlige karakteristika af moderne ransomware: Det er, efter alle, meget målrettet og bruger dobbeltafpresningsmetoder. Som sådan, det er værd at overvåge," hedder det i rapporten.