Ny White Rabbit Ransomware muligvis drevet af FIN8 APT

Sikkerhedsforskere har opdaget en ny ransomware-variant, der tilhører sin egen familie. Ransomwaren er blevet navngivet White Rabbit og menes at have forbindelser til den avancerede persistente trussel-aktør kendt som APT8.

APT8 er betegnelsen for en økonomisk motiveret APT, der første gang blev opdaget i 2018 og lancerede angreb mod organisationer i detail- og hotelbranchen.

Ifølge Trend Mircos rapport om White Rabbit ransomware deler den nye stamme nogle ligheder med den ældre Egregor ransomware, når det kommer til at dække sine spor og forblive uopdaget.

Første påvisning og undersøgelse

De første påvisninger af White Rabbit-aktivitet går tilbage til midten af december 2021. Samme dag, da sikkerhedsfirmaet Lodestone offentliggjorde en artikel om White Rabbit, offentliggjorde den uafhængige sikkerhedsforsker Michael Gillespie også et opslag om White Rabbit på sin Twitter-konto. Gillespies indlæg inkluderede også ransomware-notatet, som blev lagt ved siden af hver enkelt krypteret fil, sammen med miniature-ASCII-art-kaninen inkluderet i løsesumnotatets tekstfil.

Løsesedlen gør en indsats for at skræmme offeret ind i det klassiske dobbeltafpresningsscenarie. White Rabbit hævder, at ofrets data ikke kun er blevet krypteret, men også blevet eksfiltreret og vil blive lækket, hvis løsesummen ikke betales.

Trend Micro opdagede også, at forekomsten af White Rabbit, de analyserede, brugte adgangskoden "KissMe" til at dekryptere nyttelastens interne konfiguration og starte den faktiske ransomware. En meget lignende metode blev brugt af prøver af Egregor ransomware, som forskere analyserede for år siden.

Selvom forskerne ikke er helt sikre på, at White Rabbit drives af FIN8 APT, er der en række lignende teknikker og metoder til rekognoscering og infiltration, der deles mellem White Rabbit og tidligere FIN8-angreb.

Metoder til kryptering

Når White Rabbit krypterer filer, føjer den filtypenavnet .scrypt til hver krypteret fil og dropper derefter en anden instans med filtypenavnet .scrypt.txt for hver krypteret fil. Ransomwaren styrer uden om vigtige systemmapper for at tillade målsystemet at fungere normalt. Mapper, der ikke berøres af White Rabbit, inkluderer Windows-mappen og begge Program Files-mapper. Filer, der potentielt tilhører systemdrivere, er heller ikke krypteret.