Ransomware White Rabbit
Al desembre, just abans de finals del 2021, va sorgir una nova família de ransomware al panorama de la ciberdelinqüència en un atac contra un banc nord-americà. Descoberta pels investigadors de Trend Micro i classificada com a ransomware White Rabbit, l'amenaça mostra múltiples característiques d'implementació completa del programari maliciós modern d'aquest tipus. Tot i que la rutina de xifratge de White Rabbit és bastant senzilla, mostra un enfocament més gran a emmascarar les seves accions intrusives. Cal tenir en compte que certs detalls mostren una connexió entre White Rabbit i el grup APT conegut com FIN8.
Taula de continguts
Detalls del conill blanc
Després d'analitzar l'atac, els experts d'infosec van notar indicis que White Rabbit es va desplegar als sistemes dirigits mitjançant l'ús de Cobalt Strike, una eina legítima de proves de penetració que sovint forma part d'atacs maliciosos a causa de les seves àmplies funcions. El binari de càrrega útil de White Rabbit és un fitxer força petit, d'uns 100 KB, que no mostra cap cadena ni activitat notable.
Per desbloquejar les seves capacitats destructives, White Rabbit requereix una contrasenya de línia d'ordres específica. Després, l'amenaça pot desxifrar la seva configuració interna i començar a executar la seva rutina de xifratge. Aquesta no és la primera vegada que una amenaça de ransomware utilitza aquesta tècnica en particular, anteriorment la família de ransomware Egregor l'utilitzava per ocultar les seves accions malicioses.
Procés i demandes de xifratge
White Rabbit s'orienta a una àmplia gamma de tipus de fitxers i crea un fitxer de text amb un missatge de rescat idèntic per a cada fitxer bloquejat. Els noms dels fitxers de text són una combinació del nom del fitxer relacionat afegit amb ".scrypt.txt". Per garantir que el seu procés de xifratge no s'impedeixi, l'amenaça és capaç d'acabar amb processos i serveis específics, com ara els que pertanyen a productes anti-malware. White Rabbit també intenta evitar que es produeixin errors en el sistema o errors crítics saltant els fitxers en camins i directoris importants. Alguns exemples inclouen \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ i més.
La nota de rescat mostra que White Rabbit està executant un esquema de doble extorsió. Abans que els fitxers s'hagin bloquejat, els pirates informàtics afirmen haver robat amb èxit dades privades crucials. Les víctimes tenen 4 dies per establir contacte amb els ciberdelinqüents o la informació robada serà divulgada al públic o s'oferirà a la venda a organitzacions competidores. També s'eliminarà la clau de desxifrat necessària, cosa que farà impossible la restauració de tots els fitxers bloquejats.
Connexió a FIN8
El grup FIN8 APT està involucrat principalment en operacions de ciberespionatge, infiltració i reconeixement. Hi ha certs detalls que vinculen el grup amb l'amenaça de ransomware White Rabbit. Tal com van afirmar els investigadors de Lodestone, l'URL maliciós vist com a part de l'atac de White Rabbit s'ha relacionat anteriorment amb el grup FIN8. A més, les seves troballes mostren que White Rabbit està utilitzant una versió de Badhatch, una porta del darrere considerada part de l'arsenal d'eines malicioses de FIN8. Si les connexions entre White Rabbit i FIN8 són accidentals o si el grup realment està ampliant les seves activitats i entra a l'escena del ransomware, queda per veure.
