Es gibt eine neue Ransomware-Familie, die in freier Wildbahn gesichtet wurde. Weißer Hase genannt, Die Ransomware wurde Forschern von Trend Micro bei stillen Angriffen gegen eine US-Bank im Dezember aufgefallen 2021. Es scheint, dass die Bedrohung eine Seite von verwendet bekannte Egregor-Ransomware, um seine böswillige Aktivität zu verbergen. Forscher glauben, dass White Rabbit mit FIN8 APT verbunden ist (Advanced Persistent Threat) Gruppe.
Verwandtes Lesen: Lazarus APT-Hacker haben Kryptowährung im Wert von 400 Millionen Dollar gestohlen
Das Interessante an der New White Rabbit Ransomware?
„Einer der bemerkenswertesten Aspekte des Angriffs von White Rabbit ist, dass seine Payload-Binärdatei ein bestimmtes Befehlszeilenpasswort erfordert, um seine interne Konfiguration zu entschlüsseln und mit seiner Ransomware-Routine fortzufahren,“, sagte Trend Micro in einem Bericht.
Diese Technik wurde von den Egregor-Betreibern verwendet, um böswillige Aktivitäten vor Anbieteranalysen zu verbergen. Auf den ersten Blick, Die Akte von White Rabbit erregt keine Aufmerksamkeit, mit seiner geringen Größe von ca 100 KB und keine nennenswerten Zeichenfolgen oder Aktivitäten. Was seinen bösartigen Charakter verrät, ist das Vorhandensein von Zeichenfolgen für die Protokollierung. Jedoch, Das grundlegende Ransomware-Verhalten ist ohne das richtige Passwort nicht leicht zu beobachten.
Die interne Telemetrie von Trend Micro zeigte Spuren von Cobalt Strike Malware Befehle, die möglicherweise verwendet wurden, um das System zu infiltrieren und die Verschlüsselungsnutzlast zu löschen. Es gibt auch Hinweise darauf, dass die bösartige URL, die mit dem Angriff von White Rabbit verbunden ist, mit FIN8 zusammenhängt, ein bekannter APT-Spieler.
Lodestone-Forscher bemerkten auch, dass die Ransomware eine zuvor unbekannte Hintertür namens Badhatch verwendet, auch mit FIN8 verbunden. Jedoch, Die Forscher waren nicht in der Lage, Dateien zu dieser URL zu erhalten, um eine Analyse durchzuführen.
In Bezug auf seine Routine, White Rabbit verhält sich wie eine typische Ransomware. Es führt auch doppelte Erpressung durch, indem es seinen Zielen droht, ihre gestohlenen Daten zu verkaufen oder zu veröffentlichen.
Was ist mit der Verschlüsselung von White Rabbit Ransomware??
Für jede verschlüsselte Datei, die Ransomware erstellt eine separate Notiz. Jede Notiz trägt den Namen der verschlüsselten Datei, und wird mit der folgenden Erweiterung angehängt – .krypt.txt.
„Vor der Ransomware-Routine, Die Malware beendet auch mehrere Prozesse und Dienste, insbesondere Antiviren-bezogene,“, stellte Trend Micro fest.
Abschließend, Die Forscher glauben, dass sich die Ransomware noch in der Entwicklung befindet. „Obwohl wir uns in diesem frühen Stadium befinden, jedoch, Es ist wichtig zu betonen, dass es die problematischen Eigenschaften moderner Ransomware aufweist: Es ist, schließlich, sehr zielgerichtet und wendet doppelte Erpressungsmethoden an. So wie, es lohnt sich zu beobachten," so der Bericht.