Ny White Rabbit Ransomware-stamme har mulige bånd til Egregor
Sikkerhetsforskere publiserte en fersk rapport om en ny stamme av løsepengevare. Den nye løsepengevaren er medlem av sin egen familie og har blitt kalt White Rabbit, etter den søte ASCII-kaninen som dukker opp i løsepengeseddelen. Løsepengevaren antas å være relatert til den avanserte vedvarende trusselaktøren kjent som APT8.
APT8 er en av de økonomisk motiverte APT-ene på trussellandskapet, som har vært aktiv siden 2018 og har lansert løsepenge-angrep mot bedrifter i restaurant-, gjestfrihets- og detaljhandelsbransjen.
Innholdsfortegnelse
Likheter mellom White Rabbit og Egregor
Sikkerhetsfirmaet Trend Micro publiserte en rapport om den nye White Rabbit-ransomwaren og skisserte noen likheter mellom den nye stammen og den tidligere kjente Egregor-ransomwaren. De to stammene av løsepengevare har noen svært like metoder og tilnærminger når det kommer til måten de skjuler sporene sine på og forsøker å unngå oppdagelse, selv om de er forskjellige nok til å bli klassifisert som to forskjellige familier.
White Rabbit ble først undersøkt mer detaljert for et par måneder siden, rett før julen 2021. Uavhengig forsker Michael Gillespie publiserte et Twitter-innlegg som inneholdt skjermbilder av White Rabbits fulle løsepenger og et par eksempler på krypterte filer, som viser utvidelsen som brukes til kryptert filer.
White Rabbit går for dobbel utpressing
The White Rabbit løsepengevare går for dobbel utpressing – en metode som nesten har blitt normen når det kommer til løsepengeangrep. Løsepengene truer med at hackerne vil publisere sensitiv eksfiltrert informasjon dersom løsepengene ikke betales. I løpet av det siste året har dobbel utpressing blitt så utbredt at hvis en ny trusselaktør ikke klarer å gå for det, er det nesten et merkelig unntak.
Analyse av White Rabbits nyttelast viste at løsepengevarens opprinnelige nyttelast er kryptert og må bruke en passordstreng for å dekryptere den interne konfigurasjonen til den endelige nyttelasten. I prøven analysert av forskere, var passordstrengen som ble brukt for denne interne dekrypteringsprosessen "KissMe". Egregor løsepengevaren brukte svært like tilsløringsteknikker for å skjule sin egen ondsinnede aktivitet, noe som førte til å etablere en mulig kobling mellom de to løsepengevarefamiliene.
I tillegg er noen av teknikkene og metodene brukt av White Rabbit svært lik metodikken til trusselaktøren kjent som APT8.
Løsepenger overalt!
På det tekniske nivået gjør ikke White Rabbit noe utrolig nyskapende. Ransomware krypterer filer på målsystemet mens den unngår mapper og filer som kan kompromittere den generelle systemstabiliteten. Kataloger som inneholder systemdrivere, Windows OS-filer og installert programvare under Programfiler holdes intakte. Alle andre brukerfiler er kryptert, og filtypen .scrypt legges til de krypterte filene. Løsepengevaren slipper også løsepengene langs hver eneste krypterte fil, og produserer løsepenger med navnet filename.ext.scrypt.txt.