Ny White Rabbit Ransomware-stamme har mulige bånd til Egregor
Sikkerhedsforskere offentliggjorde en nylig rapport om en ny stamme af ransomware. Den nye løsesumware er medlem af sin egen familie og er blevet døbt White Rabbit efter den søde ASCII-kanin, der dukker op i løsesumsedlen. Ransomwaren menes at være relateret til den avancerede vedvarende trussel aktør kendt som APT8.
APT8 er en af de økonomisk motiverede APT'er på trusselslandskabet, som har været aktiv siden 2018 og har lanceret ransomware-angreb mod virksomheder i restaurant-, gæstfriheds- og detailbranchen.
Indholdsfortegnelse
Ligheder mellem hvid kanin og Egregor
Sikkerhedsfirmaet Trend Micro offentliggjorde en rapport om den nye White Rabbit ransomware og skitserede nogle ligheder mellem den nye stamme og den tidligere kendte Egregor ransomware. De to stammer af ransomware har nogle meget lignende metoder og tilgange, når det kommer til den måde, de skjuler deres spor på og forsøger at undgå påvisning, selvom de er forskellige nok til at blive klassificeret som to forskellige familier.
White Rabbit blev første gang undersøgt mere detaljeret for et par måneder siden, lige før julen 2021. Den uafhængige forsker Michael Gillespie offentliggjorde et Twitter-indlæg, der indeholdt skærmbilleder af White Rabbits fulde løsesumseddel og et par eksempler på krypterede filer, der viste udvidelsen, der blev brugt til krypteret filer.
Hvid kanin går til dobbelt afpresning
The White Rabbit ransomware går efter dobbelt afpresning – en metode, der nærmest er blevet normen, når det kommer til ransomware-angreb. Løsesedlen truer med, at hackerne vil offentliggøre følsomme udstrakte oplysninger, hvis løsesummen ikke betales. I løbet af det sidste år er dobbelt afpresning blevet så udbredt, at hvis en ny trusselsaktør undlader at gå efter det, er det næsten en mærkelig undtagelse.
Analyse af White Rabbits nyttelast viste, at ransomwarens oprindelige nyttelast er krypteret og skal bruge en adgangskodestreng til at dekryptere den interne konfiguration af den endelige nyttelast. I prøven analyseret af forskere var adgangskodestrengen, der blev brugt til denne interne dekrypteringsproces, "KissMe". Egregor ransomware brugte meget lignende sløringsteknikker til at skjule sin egen ondsindede aktivitet, hvilket førte til at etablere en mulig forbindelse mellem de to ransomware-familier.
Derudover er nogle af de teknikker og metoder, der bruges af White Rabbit, meget lig metoden fra trusselsaktøren kendt som APT8.
Løsepenge noter overalt!
På det tekniske plan laver White Rabbit ikke noget utroligt innovativt. Ransomwaren krypterer filer på målsystemet, mens de undgår mapper og filer, der kan kompromittere den overordnede systemstabilitet. Biblioteker, der indeholder systemdrivere, Windows OS-filer og installeret software under Programfiler, bevares intakte. Alle andre brugerfiler er krypteret, og filtypenavnet .scrypt føjes til de krypterede filer. Løsepengeprogrammet taber også sin løsesumseddel langs hver eneste krypterede fil, og producerer løsesumsedler med navnet filename.ext.scrypt.txt.