Une nouvelle famille de rançongiciels a été repérée dans la nature. Appelé lapin blanc, le ransomware a été remarqué par les chercheurs de Trend Micro lors d'attaques silencieuses contre une banque américaine en décembre 2021. Il semble que la menace utilise une page du bien connu rançongiciel Egregor, cacher son activité malveillante. Les chercheurs pensent que White Rabbit est affilié au FIN8 APT (Advanced Persistent Threat) groupe.
Lecture connexe: Les hackers de Lazarus APT ont volé 400 millions de dollars en crypto-monnaie
Ce qui est intéressant à propos du nouveau rançongiciel White Rabbit?
"L'un des aspects les plus notables de l'attaque de White Rabbit est la façon dont son binaire de charge utile nécessite un mot de passe de ligne de commande spécifique pour déchiffrer sa configuration interne et poursuivre sa routine de rançongiciel.,” Trend Micro a déclaré dans un rapport.
Cette technique a été utilisée par les opérateurs Egregor pour dissimuler les activités malveillantes à l'analyse des fournisseurs. À première vue, Le dossier de White Rabbit n'attire pas l'attention, avec sa petite taille d'environ 100 Ko et aucune chaîne ou activité notable. Ce qui révèle son caractère malveillant, c'est la présence de chaînes de journalisation. Cependant, le comportement essentiel du ransomware n'est pas facile à observer sans le mot de passe correct.
La télémétrie interne de Trend Micro a révélé des traces de Logiciel malveillant Cobalt Strike commandes qui auraient pu être utilisées pour infiltrer le système et supprimer la charge utile de chiffrement. Il existe également des preuves que l'URL malveillante liée à l'attaque White Rabbit est liée à FIN8, un joueur APT bien connu.
Les chercheurs de Lodestone ont également remarqué que le rançongiciel utilise une porte dérobée jusque-là inconnue appelée Badhatch., également associé à FIN8. Cependant, les chercheurs n'ont pas pu obtenir de fichiers liés à cette URL pour effectuer une analyse.
Au niveau de sa routine, White Rabbit agit comme un rançongiciel typique. Il pratique également une double extorsion en menaçant ses cibles de vendre ou de publier leurs données volées.
Qu'en est-il du cryptage de White Rabbit Ransomware?
Pour chaque fichier crypté, le ransomware crée une note séparée. Chaque note porte le nom du fichier crypté, et est ajouté avec l'extension suivante – .scrypt.txt.
"Avant la routine du rançongiciel, le malware met également fin à plusieurs processus et services, en particulier ceux liés aux antivirus,” Trend Micro a noté.
En conclusion, les chercheurs pensent que le ransomware est encore en développement. "Malgré le fait d'être à ce stade précoce, cependant, il est important de souligner qu'il présente les caractéristiques gênantes des rançongiciels modernes: Il est, après tout, très ciblé et utilise des méthodes de double extorsion. En tant que tel, ça vaut le coup de surveiller," le rapport.