White Rabbit Ransomware
Tillbaka i december, strax före slutet av 2021, dök en ny ransomware-familj upp på cyberbrottslandskapet i en attack mot en amerikansk bank. Upptäckt av forskarna vid Trend Micro och beskrivna som White Rabbit ransomware, visar hotet flera fullt implementerade egenskaper hos modern skadlig programvara av denna typ. Medan White Rabbits krypteringsrutin är ganska okomplicerad, visar den ett ökat fokus på att maskera dess påträngande handlingar. Det bör noteras att vissa detaljer visar ett samband mellan White Rabbit och APT-gruppen känd som FIN8.
Innehållsförteckning
Vit kanin detaljer
Efter att ha analyserat attacken märkte infosec-experterna tecken på att White Rabbit distribuerades till de riktade systemen genom användningen av Cobalt Strike, ett legitimt penetrationstestverktyg som ofta finner sig vara en del av skadliga attacker på grund av dess omfattande funktioner. Den faktiska White Rabbit-nyttolasten är en ganska liten fil, runt 100KB, som inte visar några märkbara strängar eller aktivitet.
För att låsa upp dess destruktiva kapacitet kräver White Rabbit ett specifikt kommandoradslösenord. Efteråt kan hotet dekryptera sin interna konfiguration och börja köra sin krypteringsrutin. Det är inte första gången denna speciella teknik har använts av ett ransomware-hot, tidigare använde Egregor ransomware-familjen den för att dölja sina skadliga handlingar.
Krypteringsprocess och krav
White Rabbit riktar sig till ett brett spektrum av filtyper och skapar en textfil med ett identiskt meddelande om lösen för varje låst fil. Namnen på textfilerna är en kombination av namnet på den relaterade filen med .scrypt.txt. För att säkerställa att dess krypteringsprocess inte hindras, kan hotet avsluta specifika processer och tjänster, till exempel sådana som hör till produkter mot skadlig programvara. White Rabbit försöker också undvika att orsaka systemkrascher eller kritiska fel genom att hoppa över filerna i viktiga sökvägar och kataloger. Några exempel inkluderar \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ och mer.
Lösenedeln visar att White Rabbit kör ett dubbelutpressningsprogram. Innan filerna har låsts hävdar hackarna att de framgångsrikt har stulit avgörande privat data. Offren får fyra dagar på sig att etablera kontakt med cyberbrottslingarna, annars kommer den stulna informationen att släppas till allmänheten eller erbjudas till försäljning till konkurrerande organisationer. Den nödvändiga dekrypteringsnyckeln kommer också att raderas, vilket gör det omöjligt att återställa alla låsta filer.
Anslutning till FIN8
FIN8 APT-gruppen är främst involverad i cyberspionage, infiltration och spaningsoperationer. Det finns vissa detaljer som länkar gruppen till White Rabbit ransomware-hotet. Som framgått av forskarna från Lodestone har den skadliga webbadressen som ses som en del av White Rabbit-attacken tidigare varit relaterad till FIN8-gruppen. Dessutom visar deras resultat att White Rabbit använder en version av Badhatch, en bakdörr som anses vara en del av FIN8:s arsenal av skadliga verktyg. Om kopplingarna mellan White Rabbit och FIN8 är oavsiktliga eller om gruppen faktiskt utökar sina aktiviteter och går in i ransomware-scenen återstår att se.
