Il nuovo ceppo di ransomware White Rabbit ha possibili legami con Egregor
I ricercatori di sicurezza hanno pubblicato un recente rapporto su un nuovo ceppo di ransomware. Il nuovo ransomware è un membro della sua stessa famiglia ed è stato soprannominato White Rabbit, dal simpatico coniglietto ASCII che compare nella richiesta di riscatto. Si ritiene che il ransomware sia correlato all'avanzato attore di minacce persistenti noto come APT8.
APT8 è uno degli APT finanziariamente motivati nel panorama delle minacce, attivo dal 2018 e ha lanciato attacchi ransomware contro aziende nei settori della ristorazione, dell'ospitalità e della vendita al dettaglio.
Sommario
Somiglianze tra White Rabbit ed Egregor
La società di sicurezza Trend Micro ha pubblicato un rapporto sul nuovo ransomware White Rabbit e ha delineato alcune somiglianze tra il nuovo ceppo e il ransomware Egregor precedentemente noto. I due ceppi di ransomware hanno metodi e approcci molto simili quando si tratta del modo in cui nascondono le loro tracce e tentano di evitare il rilevamento, anche se sono abbastanza diversi da essere classificati come due famiglie diverse.
White Rabbit è stato esaminato per la prima volta in modo più dettagliato un paio di mesi fa, appena prima del Natale 2021. Il ricercatore indipendente Michael Gillespie ha pubblicato un post su Twitter contenente screenshot della richiesta di riscatto completa di White Rabbit e un paio di file crittografati di esempio, che mostrano l'estensione utilizzata per crittografare File.
White Rabbit punta alla doppia estorsione
Il ransomware White Rabbit punta alla doppia estorsione, un metodo che è quasi diventato la norma quando si tratta di attacchi ransomware. La richiesta di riscatto minaccia che gli hacker pubblicheranno informazioni sensibili esfiltrate se il riscatto non viene pagato. Nell'ultimo anno, la doppia estorsione è diventata così diffusa che se un nuovo attore di minacce non riesce a farlo, è quasi una curiosa eccezione.
L'analisi del payload di White Rabbit ha mostrato che il payload iniziale del ransomware è crittografato e deve utilizzare una stringa di password per decrittografare la configurazione interna del payload finale. Nel campione analizzato dai ricercatori, la stringa di password utilizzata per questo processo di decrittazione interna era "KissMe". Il ransomware Egregor ha utilizzato tecniche di offuscamento molto simili per nascondere la propria attività dannosa, il che ha portato a stabilire un possibile collegamento tra le due famiglie di ransomware.
Inoltre, alcune delle tecniche e dei metodi utilizzati da White Rabbit sono molto simili alla metodologia dell'attore di minacce noto come APT8.
Note di riscatto ovunque!
A livello tecnico, White Rabbit non fa nulla di incredibilmente innovativo. Il ransomware crittografa i file sul sistema di destinazione evitando cartelle e file che potrebbero compromettere la stabilità generale del sistema. Le directory contenenti i driver di sistema, i file del sistema operativo Windows e il software installato in Programmi vengono mantenute intatte. Tutti gli altri file utente vengono crittografati e l'estensione .scrypt viene aggiunta ai file crittografati. Il ransomware rilascia anche la sua richiesta di riscatto lungo ogni file crittografato, producendo note di riscatto denominate filename.ext.scrypt.txt.