Le nouveau rançongiciel White Rabbit peut être exécuté par FIN8 APT
Les chercheurs en sécurité ont repéré une nouvelle variante de ransomware qui appartient à sa propre famille. Le rançongiciel a été nommé White Rabbit et on pense qu'il a des liens avec l'acteur de menace persistante avancé connu sous le nom d'APT8.
APT8 est la désignation donnée à un APT à motivation financière qui a été repéré pour la première fois en 2018 et a lancé des attaques contre des organisations des secteurs de la vente au détail et de l'hôtellerie.
Selon le rapport de Trend Mirco sur le ransomware White Rabbit, la nouvelle souche partage certaines similitudes avec l'ancien ransomware Egregor lorsqu'il s'agit de couvrir ses traces et de ne pas être détecté.
Premières détections et examen
Les premières détections d'activité de White Rabbit remontent à la mi-décembre 2021. Le même jour où la société de sécurité Lodestone a publié un article sur White Rabbit, le chercheur indépendant en sécurité Michael Gillespie a également publié un article sur White Rabbit sur son compte Twitter. Le message de Gillespie comprenait également la note du ransomware, déposée à côté de chaque fichier crypté, ainsi que le lapin miniature ASCII-art inclus dans le fichier texte de la note de rançon.
La note de rançon s'efforce d'effrayer la victime dans le scénario classique de double extorsion. White Rabbit affirme que les données de la victime ont non seulement été cryptées mais ont également été exfiltrées et seront divulguées si la rançon n'est pas payée.
Trend Micro a également repéré que l'instance de White Rabbit qu'ils ont analysée utilisait le mot de passe « KissMe » pour déchiffrer la configuration interne de la charge utile et lancer le véritable rançongiciel. Une méthode très similaire a été utilisée par des échantillons du rançongiciel Egregor que les chercheurs ont analysés il y a des années.
Même si les chercheurs ne sont pas complètement certains que White Rabbit est exploité par le FIN8 APT, il existe un certain nombre de techniques et de méthodes similaires de reconnaissance et d'infiltration partagées entre White Rabbit et les attaques FIN8 passées.
Méthodes de chiffrement
Lorsque White Rabbit crypte des fichiers, il ajoute l'extension .scrypt à chaque fichier brouillé, puis dépose une deuxième instance avec l'extension .scrypt.txt pour chaque fichier crypté. Le ransomware évite les répertoires système importants afin de permettre au système cible de fonctionner normalement. Les dossiers qui ne sont pas touchés par White Rabbit incluent le dossier Windows et les deux dossiers Program Files. Les fichiers qui appartiennent potentiellement aux pilotes système ne sont pas non plus chiffrés.