C'è una nuova famiglia di ransomware avvistata in natura. Chiamato Coniglio Bianco, il ransomware è stato notato dai ricercatori di Trend Micro in attacchi silenziosi contro una banca statunitense a dicembre 2021. Sembra che la minaccia utilizzi una pagina da noto ransomware Egregor, per nascondere la sua attività dannosa. I ricercatori ritengono che White Rabbit sia affiliato alla FIN8 APT (Advanced Persistent Threat) gruppo.
Lettura correlata: Gli hacker di Lazarus APT hanno rubato $ 400 milioni in criptovaluta
Cosa c'è di interessante nel nuovo ransomware White Rabbit?
"Uno degli aspetti più importanti dell'attacco di White Rabbit è il modo in cui il suo payload binario richiede una specifica password della riga di comando per decrittografare la sua configurazione interna e procedere con la sua routine di ransomware,” Trend Micro ha detto in un rapporto.
Questa tecnica è stata utilizzata dagli operatori di Egregor per nascondere le attività dannose dall'analisi del fornitore. A prima vista, Il file di White Rabbit non attira l'attenzione, con le sue piccole dimensioni di circa 100 KB e nessuna stringa o attività degna di nota. Ciò che rivela il suo carattere dannoso è la presenza di stringhe per la registrazione. Tuttavia, il comportamento essenziale del ransomware non è facile da osservare senza la password corretta.
La telemetria interna di Trend Micro ha rivelato tracce di Malware Cobalt Strike comandi che potrebbero essere stati utilizzati per infiltrarsi nel sistema e eliminare il payload di crittografia. Ci sono anche prove che l'URL dannoso collegato all'attacco White Rabbit sia correlato a FIN8, un noto giocatore APT.
I ricercatori di Lodestone hanno anche notato che il ransomware utilizza una backdoor precedentemente sconosciuta chiamata Badhatch, anche associato a FIN8. Tuttavia, i ricercatori non sono stati in grado di ottenere file relativi a quell'URL per eseguire un'analisi.
In termini di routine, White Rabbit si comporta come un tipico ransomware. Effettua anche una doppia estorsione minacciando i suoi obiettivi di vendere o pubblicare i loro dati rubati.
Che dire della crittografia di White Rabbit Ransomware?
Per ogni file crittografato, il ransomware crea una nota separata. Ogni nota ha il nome del file crittografato, ed è aggiunto con la seguente estensione – .scrypt.txt.
“Prima della routine del ransomware, il malware interrompe anche diversi processi e servizi, in particolare quelli relativi agli antivirus,” ha osservato Trend Micro.
Insomma, i ricercatori ritengono che il ransomware sia ancora in fase di sviluppo. “Nonostante sia in questa fase iniziale, tuttavia, è importante sottolineare che porta le caratteristiche problematiche dei ransomware moderni: È, dopotutto, altamente mirato e utilizza metodi di doppia estorsione. Come tale, vale la pena monitorare," dice il rapporto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: