Há uma nova família de ransomware vista na natureza. Chamado Coelho Branco, o ransomware foi notado por pesquisadores da Trend Micro em ataques silenciosos contra um banco dos EUA em dezembro 2021. Parece que a ameaça usa uma página do conhecido ransomware Egregor, para ocultar sua atividade maliciosa. Pesquisadores acreditam que White Rabbit é afiliado ao FIN8 APT (Ameaça persistente avançada) grupo.
Leitura relacionada: Hackers do Lazarus APT roubaram US$ 400 milhões em criptomoeda
O que é interessante sobre o novo White Rabbit Ransomware?
“Um dos aspectos mais notáveis do ataque do White Rabbit é como seu binário de carga útil requer uma senha de linha de comando específica para descriptografar sua configuração interna e prosseguir com sua rotina de ransomware,” Trend Micro disse em um relatório.
Essa técnica foi usada pelos operadores do Egregor para ocultar atividades maliciosas da análise do fornecedor. À primeira vista, O arquivo do Coelho Branco não chama atenção, com seu pequeno tamanho de cerca de 100 KB e nenhuma string ou atividade notável. O que revela seu caráter malicioso é a presença de strings para registro. Contudo, o comportamento essencial do ransomware não é fácil de observar sem a senha correta.
A telemetria interna da Trend Micro revelou traços de Malware Cobalt Strike comandos que podem ter sido utilizados para se infiltrar no sistema e descartar a carga útil de criptografia. Também há evidências de que o URL malicioso conectado ao ataque White Rabbit está relacionado ao FIN8, um conhecido jogador de APT.
Os pesquisadores da Lodestone também notaram que o ransomware está usando um backdoor anteriormente desconhecido chamado Badhatch, também associado ao FIN8. Contudo, os pesquisadores não conseguiram obter arquivos relacionados a essa URL para realizar uma análise.
Em sua rotina, White Rabbit age como um ransomware típico. Também realiza dupla extorsão, ameaçando seus alvos para vender ou publicar seus dados roubados.
E a criptografia do White Rabbit Ransomware?
Para cada arquivo criptografado, o ransomware cria uma nota separada. Cada nota tem o nome do arquivo criptografado, e é anexado com a seguinte extensão – .scrypt.txt.
“Antes da rotina de ransomware, o malware também encerra vários processos e serviços, particularmente os relacionados a antivírus,” Trend Micro observou.
Em conclusão, os pesquisadores acreditam que o ransomware ainda está em desenvolvimento. “Apesar de estar nesta fase inicial, Contudo, é importante destacar que ele tem as características problemáticas do ransomware moderno: Isto é, depois de tudo, altamente direcionado e usa métodos de extorsão dupla. Assim sendo, vale a pena monitorar,” segundo o relatório.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: