White Rabbit Ransomware bruger dobbelt afpresning, mulig FIN8-forbindelse

En ny højprofileret filkrypteringstrojaner er blevet opdaget af malware-forskere. De første oplysninger om dets angreb dukkede op i december 2021, da det lykkedes at overtage netværket af en større amerikansk bankinstitution. Truslen, kaldet White Rabbit Ransomware, ser ud til at have nogle ligheder med Egregor Ransomware-familien. Det er dog højst usandsynligt, at den samme gruppe kriminelle er ansvarlige for White Rabbit Ransomware.

Hvad er White Rabbit Ransomware?

Fillåse som denne fungerer ved at kryptere data på ofrets maskine og sikre, at deres filer er utilgængelige. Det ejendommelige ved denne særlige ransomware-familie er, at den kun kan køre, hvis der indtastes en adgangskode. Dette er et simpelt trick til at gøre opgaven for malware-forskere lidt sværere. Det kan dog også betyde, at de kriminelle implementerer White Rabbit Ransomware manuelt, da de skal indtaste en adgangskode for at køre den.

Størrelsen af ransomware binær er også utrolig lille – kun lidt over 100KB. Eksperter har mistanke om, at nyttelasten kan være blevet leveret med assistance af et tidligere plantet, revnet Cobalt Strike Beacon – rester af dette implantat blev fundet på inficerede maskiner.

Hvordan udføres angrebet?

Når truslen kører, vil den stjæle filer og derefter kryptere de originale kopier. Denne dobbelte afpresningsteknik er ved at blive en almindelig begivenhed, når man taler om højprofilerede trusler. De kriminelle truer med at lække ofrets følsomme oplysninger online, medmindre de betaler. De fortæller dem også, at de originale filer ikke kan gendannes, medmindre du betaler. Desværre er de kriminelles advarsler sande - der er ingen mulighed for genopretning på nuværende tidspunkt. Den bedste måde at tackle ransomware-angreb på er at træffe forebyggende foranstaltninger for at sikre, at de ikke sker i første omgang. Brug af en opdateret sikkerhedssoftwarepakke er en af måderne at opnå dette på.