White Rabbit Ransomware utilise une double extorsion, une connexion FIN8 possible
Un nouveau cheval de Troie de chiffrement de fichiers très médiatisé a été détecté par des chercheurs de logiciels malveillants. Les premières informations sur ses attaques ont fait surface en décembre 2021, lorsqu'elle a réussi à s'emparer du réseau d'une grande institution bancaire américaine. La menace, surnommée White Rabbit Ransomware, semble présenter certaines similitudes avec la famille Egregor Ransomware. Cependant, il est hautement improbable que le même groupe de criminels soit responsable du White Rabbit Ransomware.
Qu'est-ce que le rançongiciel White Rabbit ?
Les casiers de fichiers comme celui-ci fonctionnent en cryptant les données sur la machine de la victime, garantissant que leurs fichiers sont inaccessibles. La particularité de cette famille de rançongiciels est qu'elle ne peut s'exécuter que si un mot de passe est saisi. Il s'agit d'une astuce simple pour rendre la tâche des chercheurs de logiciels malveillants un peu plus difficile. Cependant, cela peut également signifier que les criminels déploient manuellement le White Rabbit Ransomware puisqu'ils doivent entrer un mot de passe pour l'exécuter.
La taille du binaire du ransomware est également incroyablement petite – juste un peu plus de 100 Ko. Les experts soupçonnent que la charge utile a peut-être été livrée avec l'aide d'une balise Cobalt Strike fissurée précédemment plantée - des restes de cet implant ont été trouvés sur des machines infectées.
Comment se déroule l'attaque ?
Une fois en cours d'exécution, la menace volera des fichiers, puis chiffrera les copies originales. Cette technique de double extorsion devient courante lorsqu'il s'agit de menaces très médiatisées. Les criminels menacent de divulguer en ligne les informations sensibles de la victime à moins qu'ils ne paient. Ils leur disent également que les fichiers originaux ne peuvent pas être récupérés à moins que vous ne payiez. Malheureusement, les avertissements des criminels sont vrais - il n'y a pas d'option de récupération pour le moment. La meilleure façon de lutter contre les attaques de ransomwares est de prendre des mesures préventives pour s'assurer qu'elles ne se produisent pas en premier lieu. L'utilisation d'une suite logicielle de sécurité à jour est l'un des moyens d'y parvenir.