Le nouveau rançongiciel White Rabbit peut être exécuté par FIN8 APT

Les chercheurs en sécurité ont repéré une nouvelle variante de ransomware qui appartient à sa propre famille. Le rançongiciel a été nommé White Rabbit et on pense qu'il a des liens avec l'acteur de menace persistante avancé connu sous le nom d'APT8.

APT8 est la désignation donnée à un APT à motivation financière qui a été repéré pour la première fois en 2018 et a lancé des attaques contre des organisations des secteurs de la vente au détail et de l'hôtellerie.

Selon le rapport de Trend Mirco sur le ransomware White Rabbit, la nouvelle souche partage certaines similitudes avec l'ancien ransomware Egregor lorsqu'il s'agit de couvrir ses traces et de ne pas être détecté.

Premières détections et examen

Les premières détections d'activité de White Rabbit remontent à la mi-décembre 2021. Le même jour où la société de sécurité Lodestone a publié un article sur White Rabbit, le chercheur indépendant en sécurité Michael Gillespie a également publié un article sur White Rabbit sur son compte Twitter. Le message de Gillespie comprenait également la note du ransomware, déposée à côté de chaque fichier crypté, ainsi que le lapin miniature ASCII-art inclus dans le fichier texte de la note de rançon.

La note de rançon s'efforce d'effrayer la victime dans le scénario classique de double extorsion. White Rabbit affirme que les données de la victime ont non seulement été cryptées mais ont également été exfiltrées et seront divulguées si la rançon n'est pas payée.

Trend Micro a également repéré que l'instance de White Rabbit qu'ils ont analysée utilisait le mot de passe « KissMe » pour déchiffrer la configuration interne de la charge utile et lancer le véritable rançongiciel. Une méthode très similaire a été utilisée par des échantillons du rançongiciel Egregor que les chercheurs ont analysés il y a des années.

Même si les chercheurs ne sont pas complètement certains que White Rabbit est exploité par le FIN8 APT, il existe un certain nombre de techniques et de méthodes similaires de reconnaissance et d'infiltration partagées entre White Rabbit et les attaques FIN8 passées.

Méthodes de chiffrement

Lorsque White Rabbit crypte des fichiers, il ajoute l'extension .scrypt à chaque fichier brouillé, puis dépose une deuxième instance avec l'extension .scrypt.txt pour chaque fichier crypté. Le ransomware évite les répertoires système importants afin de permettre au système cible de fonctionner normalement. Les dossiers qui ne sont pas touchés par White Rabbit incluent le dossier Windows et les deux dossiers Program Files. Les fichiers qui appartiennent potentiellement aux pilotes système ne sont pas non plus chiffrés.

Par Zaib
January 19, 2022
Computer Security
Français
January 19, 2022
Computer Security

Articles Populaires

Microsoft prévient que les acteurs de la menace soutenus par...

Il y a 4 days

Détection des logiciels malveillants Trojan Al11

Il y a 11 months

Pinaview est une application publicitaire complète

Il y a 10 months

Pop-ups "Votre iCloud est piraté" et "Votre iPhone a été piraté"

Il y a 7 months

Qu'est-ce que Lucky Ransomware ?

Il y a 7 months

Arnaque par e-mail « American Express – Mettez à jour les...

Il y a 6 months
Français
Chargement...

Cyclonis Backup Details & Terms

Le plan Free Basic Cyclonis Backup vous offre 2 Go d'espace de stockage dans le cloud avec toutes les fonctionnalités! Pas de carte de crédit nécessaire. Besoin de plus d'espace de stockage? Achetez un plan Cyclonis Backup plus important dès aujourd'hui! Pour en savoir plus sur nos politiques et nos tarifs, consultez les conditions d'utilisation, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.