Er is een nieuwe ransomware-familie in het wild gespot. Wit Konijn genoemd, de ransomware werd in december opgemerkt door Trend Micro-onderzoekers in stille aanvallen op een Amerikaanse bank 2021. Het lijkt erop dat de dreiging een pagina gebruikt van de bekende Egregor ransomware, om zijn kwaadaardige activiteit te verbergen. Onderzoekers geloven dat White Rabbit is aangesloten bij de FIN8 APT (Advanced persistent threat) groep.
Gerelateerd lezen: Lazarus APT-hackers hebben $ 400 miljoen gestolen in cryptovaluta
Wat is er interessant aan de New White Rabbit Ransomware??
“Een van de meest opvallende aspecten van de aanval van White Rabbit is hoe het binaire bestand van de payload een specifiek commandoregelwachtwoord vereist om de interne configuratie te decoderen en door te gaan met zijn ransomware-routine.,"Trend Micro zei in een rapport".
Deze techniek is door de Egregor-operators gebruikt om kwaadaardige activiteiten te verbergen voor leveranciersanalyse. Op het eerste gezicht, Het bestand van White Rabbit trekt geen aandacht, met zijn kleine formaat van ongeveer 100 KB en geen opvallende strings of activiteit. Wat het kwaadaardige karakter ervan verraadt, is de aanwezigheid van strings voor logging. Echter, het essentiële ransomware-gedrag is niet gemakkelijk te observeren zonder het juiste wachtwoord.
Interne telemetrie van Trend Micro onthulde sporen van Cobalt Strike malware commando's die mogelijk zijn gebruikt om het systeem te infiltreren en de versleutelende lading te laten vallen. Er zijn ook aanwijzingen dat de kwaadaardige URL die is gekoppeld aan de White Rabbit-aanval gerelateerd is aan FIN8, een bekende APT-speler.
Lodestone-onderzoekers merkten ook op dat de ransomware een voorheen onbekende achterdeur gebruikt, genaamd Badhatch, ook geassocieerd met FIN8. Echter, de onderzoekers waren niet in staat om bestanden met betrekking tot die URL te verkrijgen om een analyse uit te voeren.
In termen van zijn routine, White Rabbit gedraagt zich als een typische ransomware. Het voert ook dubbele afpersing uit door zijn doelen te bedreigen om hun gestolen gegevens te verkopen of te publiceren.
Hoe zit het met de versleuteling van White Rabbit Ransomware??
Voor elk versleuteld bestand, de ransomware maakt een aparte notitie aan. Elke notitie heeft de naam van het versleutelde bestand, en wordt toegevoegd met de volgende extensie: – .scrypt.txt.
“Voorafgaand aan de ransomware-routine, de malware beëindigt ook verschillende processen en services, met name antivirus-gerelateerde,”Trend Micro opgemerkt.
Tenslotte, de onderzoekers denken dat de ransomware nog in ontwikkeling is. “Ondanks dat ik in dit vroege stadium ben, echter, het is belangrijk om te benadrukken dat het de lastige kenmerken van moderne ransomware heeft: Het is, na alles, zeer gericht en maakt gebruik van dubbele afpersingsmethoden. Als zodanig, het is de moeite waard om te volgen," aldus het rapport.