White Rabbit Ransomware
A dicembre, poco prima della fine del 2021, una nuova famiglia di ransomware è emersa nel panorama della criminalità informatica in un attacco contro una banca statunitense. Scoperta dai ricercatori di Trend Micro e attaccata come ransomware White Rabbit, la minaccia mostra molteplici caratteristiche di implementazione completa del moderno malware di questo tipo. Sebbene la routine di crittografia di White Rabbit sia abbastanza semplice, mostra una maggiore attenzione nel mascherare le sue azioni intrusive. Va notato che alcuni dettagli mostrano un collegamento tra White Rabbit e il gruppo APT noto come FIN8.
Sommario
Dettagli del coniglio bianco
Dopo aver analizzato l'attacco, gli esperti di infosec hanno notato segni che White Rabbit è stato implementato nei sistemi presi di mira attraverso l'uso di Cobalt Strike, uno strumento legittimo di test di penetrazione che si trova spesso a far parte di attacchi dannosi a causa delle sue ampie funzionalità. L'attuale binario del payload di White Rabbit è un file piuttosto piccolo, circa 100 KB, che non mostra stringhe o attività evidenti.
Per sbloccare le sue capacità distruttive, White Rabbit richiede una specifica password della riga di comando. Successivamente, la minaccia può decrittografare la sua configurazione interna e iniziare a eseguire la sua routine di crittografia. Questa non è la prima volta che questa particolare tecnica viene utilizzata da una minaccia ransomware, in precedenza la famiglia di ransomware Egregor la utilizzava per nascondere le sue azioni dannose.
Processo di crittografia e richieste
White Rabbit prende di mira un'ampia gamma di tipi di file e crea un file di testo con un messaggio di richiesta di riscatto identico per ogni file bloccato. I nomi dei file di testo sono una combinazione del nome del file correlato aggiunto con '.scrypt.txt.' Per garantire che il suo processo di crittografia non sia ostacolato, la minaccia è in grado di terminare processi e servizi specifici, come quelli appartenenti a prodotti anti-malware. White Rabbit cerca anche di evitare di causare arresti anomali del sistema o errori critici saltando i file in percorsi e directory importanti. Alcuni esempi includono \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ e altro.
La richiesta di riscatto mostra che White Rabbit sta eseguendo un piano di doppia estorsione. Prima che i file venissero bloccati, gli hacker affermano di aver rubato con successo dati privati cruciali. Alle vittime vengono concessi 4 giorni per stabilire un contatto con i criminali informatici, altrimenti le informazioni rubate verranno rese pubbliche o offerte in vendita a organizzazioni concorrenti. Anche la chiave di decrittazione necessaria verrà eliminata, rendendo impossibile il ripristino di tutti i file bloccati.
Collegamento a FIN8
Il gruppo FIN8 APT è principalmente coinvolto in operazioni di spionaggio informatico, infiltrazione e ricognizione. Ci sono alcuni dettagli che collegano il gruppo alla minaccia ransomware White Rabbit. Come affermato dai ricercatori di Lodestone, l'URL dannoso visto come parte dell'attacco White Rabbit è stato precedentemente correlato al gruppo FIN8. Inoltre, i loro risultati mostrano che White Rabbit sta utilizzando una versione di Badhatch, una backdoor considerata parte dell'arsenale di strumenti dannosi di FIN8. Se le connessioni tra White Rabbit e FIN8 sono accidentali o se il gruppo sta effettivamente espandendo le sue attività ed entrando nella scena del ransomware resta da vedere.
