Nuevo ransomware White Rabbit posiblemente ejecutado por FIN8 APT
Los investigadores de seguridad han detectado una nueva variante de ransomware que pertenece a su propia familia. El ransomware se ha llamado White Rabbit y se cree que tiene conexiones con el actor de amenazas persistente avanzado conocido como APT8.
APT8 es el designador dado a una APT con motivación financiera que se detectó por primera vez en 2018 y lanzó ataques contra organizaciones en las industrias minorista y hotelera.
Según el informe de Trend Mirco sobre el ransomware White Rabbit, la nueva cepa comparte algunas similitudes con el antiguo ransomware Egregor cuando se trata de cubrir sus huellas y pasar desapercibido.
Primeras detecciones y examen
Las primeras detecciones de actividad de White Rabbit se remontan a mediados de diciembre de 2021. El mismo día en que la empresa de seguridad Lodestone publicó un artículo sobre White Rabbit, el investigador de seguridad independiente Michael Gillespie también publicó una publicación sobre White Rabbit en su cuenta de Twitter. La publicación de Gillespie también incluía la nota del ransomware, junto con cada archivo cifrado, junto con el conejo en miniatura con arte ASCII incluido en el archivo de texto de la nota de rescate.
La nota de rescate hace un esfuerzo por asustar a la víctima en el escenario clásico de doble extorsión. White Rabbit afirma que los datos de la víctima no solo se cifraron, sino que también se exfiltraron y se filtrarán si no se paga el rescate.
Trend Micro también detectó que la instancia de White Rabbit que analizaron usaba la contraseña "KissMe" para descifrar la configuración interna de la carga útil y ejecutar el ransomware real. Las muestras del ransomware Egregor que los investigadores analizaron hace años utilizaron un método muy similar.
Aunque los investigadores no están completamente seguros de que White Rabbit sea operado por FIN8 APT, hay una serie de técnicas y métodos similares de reconocimiento e infiltración compartidos entre White Rabbit y ataques anteriores de FIN8.
Métodos de cifrado
Cuando White Rabbit encripta archivos, agrega la extensión .scrypt a cada archivo codificado, luego suelta una segunda instancia con la extensión .scrypt.txt para cada archivo encriptado. El ransomware evita los directorios importantes del sistema para permitir que el sistema de destino funcione normalmente. Las carpetas que White Rabbit no toca incluyen la carpeta de Windows y ambas carpetas de Archivos de programa. Los archivos que potencialmente pertenecen a los controladores del sistema tampoco están encriptados.