Ny White Rabbit Ransomware-stam har möjliga kopplingar till Egregor
Säkerhetsforskare publicerade en ny rapport om en ny stam av ransomware. Den nya ransomwaren är medlem i sin egen familj och har döpts till White Rabbit, efter den söta ASCII-kaninen som dyker upp i lösennotan. Ransomwaren tros vara relaterad till den avancerade ihållande hotaktören känd som APT8.
APT8 är en av de ekonomiskt motiverade APT:erna inom hotlandskapet, som har varit aktiv sedan 2018 och har lanserat ransomware-attacker mot företag inom restaurang-, besöksnärings- och detaljhandelsbranschen.
Innehållsförteckning
Likheter mellan White Rabbit och Egregor
Säkerhetsföretaget Trend Micro publicerade en rapport om den nya White Rabbit ransomware och beskrev några likheter mellan den nya stammen och den tidigare kända Egregor ransomwaren. De två stammarna av ransomware har några mycket liknande metoder och tillvägagångssätt när det kommer till hur de döljer sina spår och försöker undvika upptäckt, även om de är tillräckligt olika för att klassificeras som två olika familjer.
White Rabbit undersöktes först mer i detalj för ett par månader sedan, strax före julen 2021. Den oberoende forskaren Michael Gillespie publicerade ett Twitter-inlägg som innehöll skärmdumpar av White Rabbits fullständiga lösensumma och ett par exempel på krypterade filer, som visar upp tillägget som används för krypterad filer.
White Rabbit går för dubbel utpressning
The White Rabbit ransomware går för dubbel utpressning – en metod som nästan har blivit normen när det kommer till ransomware-attacker. Lösennotan hotar att hackarna kommer att publicera känslig exfiltrerad information om lösen inte betalas. Under det senaste året har dubbel utpressning blivit så utbredd att om en ny hotaktör misslyckas med det, är det nästan ett konstigt undantag.
Analys av White Rabbits nyttolast visade att ransomwarens initiala nyttolast är krypterad och behöver använda en lösenordssträng för att dekryptera den interna konfigurationen av den slutliga nyttolasten. I provet som analyserades av forskare var lösenordssträngen som användes för denna interna dekrypteringsprocess "KissMe". Egregor ransomware använde mycket liknande obfuskeringstekniker för att dölja sin egen skadliga aktivitet, vilket ledde till att en möjlig koppling etablerades mellan de två ransomware-familjerna.
Dessutom är några av de tekniker och metoder som används av White Rabbit mycket lika metodiken för hotaktören som kallas APT8.
Lösenanteckningar överallt!
På det tekniska planet gör White Rabbit inget otroligt innovativt. Ransomwaren krypterar filer på målsystemet samtidigt som man undviker mappar och filer som kan äventyra systemets övergripande stabilitet. Kataloger som innehåller systemdrivrutiner, Windows OS-filer och installerad programvara under Program Files hålls intakta. Alla andra användarfiler är krypterade, och tillägget .scrypt läggs till i de krypterade filerna. Lösenprogramvaran släpper också sin lösennota längs varje krypterad fil, och producerar lösensedlar med namnet filename.ext.scrypt.txt.