Ransomware Coelho Branco
Em dezembro, pouco antes do final de 2021, uma nova família de ransomware surgiu no cenário do crime cibernético em um ataque contra um banco dos EUA. Descoberto pelos pesquisadores da Trend Micro e classificado como ransomware White Rabbit, a ameaça exibe várias características de implementação completa de malware moderno desse tipo. Embora a rotina de criptografia do White Rabbit seja bastante descomplicada, ela mostra um foco maior em mascarar suas ações intrusivas. Deve-se notar que certos detalhes mostram uma conexão entre o White Rabbit e o grupo APT conhecido como FIN8.
Índice
Detalhes do Coelho Branco
Depois de analisar o ataque, os especialistas em infosec perceberam sinais de que o White Rabbit foi implantado nos sistemas visados por meio do uso do Cobalt Strike, uma ferramenta legítima de teste de penetração que faz parte de ataques maliciosos com bastante frequência devido aos seus extensos recursos. O binário de carga útil do White Rabbit é um arquivo bastante pequeno, em torno de 100 KB, que não mostra nenhuma string ou atividade perceptível.
Para desbloquear seus recursos destrutivos, o White Rabbit requer uma senha de linha de comando específica. Depois, a ameaça pode descriptografar sua configuração interna e começar a executar sua rotina de criptografia. Esta não é a primeira vez que essa técnica específica é usada por uma ameaça de ransomware, anteriormente a família de ransomware Egregor a utilizava para ocultar suas ações maliciosas.
Processo de criptografia e demandas
O White Rabbit tem como alvo uma ampla variedade de tipos de arquivos e cria um arquivo de texto com uma mensagem de nota de resgate idêntica para cada arquivo bloqueado. Os nomes dos arquivos de texto são uma combinação do nome do arquivo relacionado anexado com '.scrypt.txt.' Para garantir que seu processo de criptografia não seja impedido, a ameaça é capaz de encerrar processos e serviços específicos, como os pertencentes a produtos antimalware. O White Rabbit também tenta evitar causar falhas no sistema ou erros críticos, pulando os arquivos em caminhos e diretórios importantes. Alguns exemplos incluem \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ e muito mais.
A nota de resgate mostra que o White Rabbit está executando um esquema de extorsão dupla. Antes que os arquivos fossem bloqueados, os hackers alegam ter roubado dados privados cruciais com sucesso. As vítimas têm 4 dias para estabelecer contato com os cibercriminosos ou as informações roubadas serão divulgadas ao público ou colocadas à venda para organizações concorrentes. A chave de descriptografia necessária também será excluída, impossibilitando a restauração de todos os arquivos bloqueados.
Conexão com FIN8
O grupo FIN8 APT está envolvido principalmente em operações de ciberespionagem, infiltração e reconhecimento. Existem certos detalhes que ligam o grupo à ameaça de ransomware White Rabbit. Conforme declarado pelos pesquisadores da Lodestone, a URL maliciosa vista como parte do ataque do White Rabbit já foi relacionada ao grupo FIN8. Além disso, suas descobertas mostram que o White Rabbit está usando uma versão do Badhatch, um backdoor considerado parte do arsenal de ferramentas maliciosas do FIN8. Se as conexões entre o White Rabbit e o FIN8 forem acidentais ou o grupo estiver realmente expandindo suas atividades e entrando na cena do ransomware, resta saber.
