Nieuwe White Rabbit Ransomware-stam heeft mogelijke banden met Egregor
Beveiligingsonderzoekers publiceerden een recent rapport over een nieuwe vorm van ransomware. De nieuwe ransomware is een lid van zijn eigen familie en is White Rabbit genoemd, naar het schattige ASCII-konijntje dat opduikt in het losgeldbriefje. Er wordt aangenomen dat de ransomware gerelateerd is aan de geavanceerde persistente bedreigingsacteur die bekend staat als APT8.
APT8 is een van de financieel gemotiveerde APT's in het dreigingslandschap, die sinds 2018 actief is en ransomware-aanvallen heeft gelanceerd tegen bedrijven in de restaurant-, horeca- en detailhandel.
Inhoudsopgave
Overeenkomsten tussen wit konijn en Egregor
Beveiligingsbedrijf Trend Micro publiceerde een rapport over de nieuwe White Rabbit-ransomware en schetste enkele overeenkomsten tussen de nieuwe soort en de eerder bekende Egregor-ransomware. De twee soorten ransomware hebben een aantal zeer vergelijkbare methoden en benaderingen als het gaat om de manier waarop ze hun sporen verbergen en detectie proberen te vermijden, ook al verschillen ze genoeg om als twee verschillende families te worden geclassificeerd.
White Rabbit werd een paar maanden geleden voor het eerst in meer detail onderzocht, net voor Kerstmis 2021. Onafhankelijke onderzoeker Michael Gillespie publiceerde een Twitter-bericht met screenshots van White Rabbit's volledige losgeldbrief en een paar voorbeelden van versleutelde bestanden, waarin de extensie wordt getoond die wordt gebruikt voor versleutelde bestanden.
Wit konijn gaat voor dubbele afpersing
De White Rabbit ransomware gaat voor dubbele afpersing - een methode die bijna de norm is geworden als het gaat om ransomware-aanvallen. De losgeldbrief bedreigt dat de hackers gevoelige geëxfiltreerde informatie zullen publiceren als het losgeld niet wordt betaald. In het afgelopen jaar is dubbele afpersing zo wijdverbreid geworden dat als een nieuwe dreigingsactor er niet in slaagt er voor te gaan, het bijna een merkwaardige uitzondering is.
Analyse van de payload van White Rabbit toonde aan dat de initiële payload van de ransomware versleuteld is en een wachtwoordstring moet gebruiken om de interne configuratie van de uiteindelijke payload te ontsleutelen. In het door onderzoekers geanalyseerde monster was de wachtwoordreeks die voor dit interne decoderingsproces werd gebruikt "KissMe". De Egregor-ransomware gebruikte zeer vergelijkbare verduisteringstechnieken om zijn eigen kwaadaardige activiteit te verbergen, wat leidde tot het leggen van een mogelijk verband tussen de twee ransomware-families.
Bovendien lijken sommige van de technieken en methoden die door White Rabbit worden gebruikt sterk op de methodologie van de dreigingsactor die bekend staat als APT8.
Losgeld notities overal!
Op technisch niveau doet White Rabbit niets ongelooflijk innovatiefs. De ransomware versleutelt bestanden op het doelsysteem en vermijdt mappen en bestanden die de algehele systeemstabiliteit in gevaar kunnen brengen. Directory's met systeemstuurprogramma's, Windows OS-bestanden en geïnstalleerde software onder Programmabestanden blijven intact. Alle andere gebruikersbestanden zijn versleuteld en de .scrypt-extensie wordt aan de versleutelde bestanden toegevoegd. De ransomware laat ook zijn losgeldbriefje langs elk versleuteld bestand vallen en produceert losgeldnota's met de naam filename.ext.scrypt.txt.