Neue White-Rabbit-Ransomware, die möglicherweise von FIN8 APT ausgeführt wird
Sicherheitsforscher haben eine neue Ransomware-Variante entdeckt, die zu ihrer eigenen Familie gehört. Die Ransomware trägt den Namen White Rabbit und soll Verbindungen zum Advanced Persistent Threat Actor namens APT8 haben.
APT8 ist die Bezeichnung für einen finanziell motivierten APT, der erstmals 2018 entdeckt wurde und Angriffe auf Organisationen im Einzelhandel und im Gastgewerbe startete.
Laut dem Bericht von Trend Mirco über die Ransomware White Rabbit hat der neue Stamm einige Ähnlichkeiten mit der älteren Ransomware Egregor, wenn es darum geht, seine Spuren zu verwischen und unentdeckt zu bleiben.
Erste Entdeckungen und Untersuchung
Die ersten Entdeckungen von White Rabbit-Aktivitäten gehen auf Mitte Dezember 2021 zurück. Am selben Tag, als die Sicherheitsfirma Lodestone einen Artikel über White Rabbit veröffentlichte, veröffentlichte der unabhängige Sicherheitsforscher Michael Gillespie auf seinem Twitter-Account auch einen Beitrag über White Rabbit. Gillespies Post enthielt auch die Notiz der Ransomware, die neben jeder einzelnen verschlüsselten Datei abgelegt wurde, zusammen mit dem Miniatur-Hasen in ASCII-Kunst, der in der Textdatei der Lösegeldforderung enthalten war.
Die Lösegeldforderung versucht, das Opfer in das klassische Szenario der doppelten Erpressung einzuschüchtern. White Rabbit behauptet, dass die Daten des Opfers nicht nur verschlüsselt, sondern auch exfiltriert wurden und durchgesickert sind, wenn das Lösegeld nicht bezahlt wird.
Trend Micro entdeckte auch, dass die von ihnen analysierte Instanz von White Rabbit das Passwort „KissMe“ verwendete, um die interne Konfiguration der Payload zu entschlüsseln und die eigentliche Ransomware zu starten. Eine sehr ähnliche Methode wurde von Proben der Egregor-Ransomware verwendet, die Forscher vor Jahren analysierten.
Auch wenn die Forscher nicht ganz sicher sind, dass White Rabbit vom FIN8 APT betrieben wird, gibt es eine Reihe ähnlicher Techniken und Methoden der Aufklärung und Infiltration, die White Rabbit und frühere FIN8-Angriffe gemeinsam haben.
Methoden der Verschlüsselung
Wenn White Rabbit Dateien verschlüsselt, hängt es die Erweiterung .scrypt an jede verschlüsselte Datei an und löscht dann eine zweite Instanz mit der Erweiterung .scrypt.txt für jede verschlüsselte Datei. Die Ransomware meidet wichtige Systemverzeichnisse, damit das Zielsystem normal funktionieren kann. Zu den Ordnern, die von White Rabbit nicht berührt werden, gehören der Windows-Ordner und beide Programmordner. Dateien, die möglicherweise zu Systemtreibern gehören, werden ebenfalls nicht verschlüsselt.