White Rabbit Ransomware
In december, vlak voor het einde van 2021, dook een nieuwe ransomwarefamilie op in het cybercrimelandschap bij een aanval op een Amerikaanse bank. De dreiging werd ontdekt door de onderzoekers van Trend Micro en bestempeld als White Rabbit-ransomware en vertoont meerdere volledig geïmplementeerde kenmerken van moderne malware van dit type. Hoewel de coderingsroutine van White Rabbit vrij ongecompliceerd is, toont het een verhoogde focus op het maskeren van zijn opdringerige acties. Opgemerkt moet worden dat bepaalde details een verband aantonen tussen White Rabbit en de APT-groep die bekend staat als FIN8.
Inhoudsopgave
Witte Konijn Details
Na analyse van de aanval merkten de infosec-experts tekenen op dat White Rabbit werd ingezet op de gerichte systemen door het gebruik van Cobalt Strike, een legitieme tool voor het testen van penetratie, die vanwege de uitgebreide functies vrij vaak deel uitmaakt van kwaadaardige aanvallen. Het daadwerkelijke binaire bestand van White Rabbit is een vrij klein bestand, ongeveer 100 KB, dat geen merkbare strings of activiteit vertoont.
Om zijn destructieve mogelijkheden te ontgrendelen, heeft White Rabbit een specifiek opdrachtregelwachtwoord nodig. Daarna kan de dreiging zijn interne configuratie ontsleutelen en beginnen met het uitvoeren van de versleutelingsroutine. Dit is niet de eerste keer dat deze specifieke techniek wordt gebruikt door een ransomware-bedreiging, eerder gebruikte de Egregor ransomware-familie het om zijn kwaadaardige acties te verbergen.
Versleutelingsproces en eisen
White Rabbit richt zich op een breed scala aan bestandstypen en maakt een tekstbestand met een identiek losgeldbericht voor elk vergrendeld bestand. De namen van de tekstbestanden zijn een combinatie van de naam van het gerelateerde bestand aangevuld met '.scrypt.txt.' Om ervoor te zorgen dat het versleutelingsproces niet wordt belemmerd, kan de dreiging specifieke processen en services beëindigen, zoals processen en services die behoren tot anti-malwareproducten. White Rabbit probeert ook systeemcrashes of kritieke fouten te voorkomen door de bestanden in belangrijke paden en mappen over te slaan. Enkele voorbeelden zijn \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ en meer.
Het losgeldbriefje laat zien dat White Rabbit een dubbel afpersingsschema heeft. Voordat de bestanden zijn vergrendeld, beweren de hackers met succes cruciale privégegevens te hebben gestolen. Slachtoffers krijgen 4 dagen de tijd om contact te leggen met de cybercriminelen, anders wordt de gestolen informatie openbaar gemaakt of te koop aangeboden aan concurrerende organisaties. De noodzakelijke decoderingssleutel wordt ook verwijderd, waardoor het onmogelijk wordt om alle vergrendelde bestanden te herstellen.
Aansluiting op FIN8
De FIN8 APT-groep is voornamelijk betrokken bij cyberspionage, infiltratie en verkenningsoperaties. Er zijn bepaalde details die de groep linken aan de White Rabbit ransomware-dreiging. Zoals de onderzoekers van Lodestone stellen, is de kwaadaardige URL die werd gezien als onderdeel van de White Rabbit-aanval eerder in verband gebracht met de FIN8-groep. Bovendien tonen hun bevindingen aan dat White Rabbit een versie van Badhatch gebruikt, een achterdeur die wordt beschouwd als onderdeel van het arsenaal aan kwaadaardige tools van FIN8. Of de connecties tussen White Rabbit en FIN8 toevallig zijn of de groep zijn activiteiten daadwerkelijk aan het uitbreiden is en de ransomwarescene betreedt, valt nog te bezien.
