Nova cepa de Ransomware White Rabbit tem possíveis ligações com Egregor
Pesquisadores de segurança publicaram um relatório recente sobre uma nova variedade de ransomware. O novo ransomware é um membro de sua própria família e foi apelidado de White Rabbit, em homenagem ao lindo coelhinho ASCII que aparece na nota de resgate. Acredita-se que o ransomware esteja relacionado ao agente avançado de ameaças persistentes conhecido como APT8.
O APT8 é um dos APTs com motivação financeira no cenário de ameaças, que está ativo desde 2018 e lançou ataques de ransomware contra empresas nos setores de restaurantes, hotelaria e varejo.
Índice
Semelhanças entre coelho branco e egrégor
A empresa de segurança Trend Micro publicou um relatório sobre o novo ransomware White Rabbit e delineou algumas semelhanças entre a nova cepa e o ransomware Egregor anteriormente conhecido. As duas linhagens de ransomware têm alguns métodos e abordagens muito semelhantes no que diz respeito à maneira como ocultam seus rastros e tentam evitar a detecção, embora sejam diferentes o suficiente para serem classificados como duas famílias diferentes.
O White Rabbit foi examinado pela primeira vez com mais detalhes há alguns meses, pouco antes do Natal de 2021. O pesquisador independente Michael Gillespie publicou um post no Twitter contendo capturas de tela da nota de resgate completa do White Rabbit e alguns arquivos criptografados de amostra, mostrando a extensão usada para criptografia arquivos.
Coelho branco vai para dupla extorsão
O ransomware White Rabbit adota dupla extorsão - um método que quase se tornou a norma quando se trata de ataques de ransomware. A nota de resgate ameaça que os hackers publiquem informações confidenciais exfiltradas se o resgate não for pago. Ao longo do ano passado, a extorsão dupla se tornou tão difundida que, se um novo agente de ameaças não conseguir, é quase uma exceção curiosa.
A análise da carga útil do White Rabbit mostrou que a carga útil inicial do ransomware é criptografada e precisa usar uma string de senha para descriptografar a configuração interna da carga útil final. Na amostra analisada pelos pesquisadores, a string de senha usada para esse processo de descriptografia interna foi "KissMe". O ransomware Egregor usou técnicas de ofuscação muito semelhantes para ocultar sua própria atividade maliciosa, o que levou ao estabelecimento de um possível vínculo entre as duas famílias de ransomware.
Além disso, algumas das técnicas e métodos usados pelo White Rabbit são muito semelhantes à metodologia do ator de ameaças conhecido como APT8.
Notas de resgate em todos os lugares!
No nível técnico, o White Rabbit não faz nada incrivelmente inovador. O ransomware criptografa arquivos no sistema de destino, evitando pastas e arquivos que possam comprometer a estabilidade geral do sistema. Diretórios contendo drivers de sistema, arquivos do sistema operacional Windows e software instalado em Arquivos de Programas são mantidos intactos. Todos os outros arquivos de usuário são criptografados e a extensão .scrypt é adicionada aos arquivos criptografados. O ransomware também lança sua nota de resgate em cada arquivo criptografado, produzindo notas de resgate chamadas filename.ext.scrypt.txt.