A White Rabbit Ransomware kettős zsarolást használ, lehetséges FIN8 kapcsolat

Új, nagy horderejű fájltitkosító trójai programot észleltek a kártevőkutatók. Az első információk támadásairól 2021 decemberében láttak napvilágot, amikor sikerült átvennie egy nagy amerikai bankintézet hálózatát. A White Rabbit Ransomware névre keresztelt fenyegetés úgy tűnik, hogy némi hasonlóságot mutat az Egregor Ransomware családdal. Nagyon valószínűtlen azonban, hogy ugyanaz a bűnözői csoport felelős a White Rabbit Ransomware-ért.

Mi az a White Rabbit Ransomware?

Az ilyen fájltárolók úgy működnek, hogy titkosítják az áldozat gépén lévő adatokat, biztosítva, hogy a fájlokhoz hozzáférhetetlenek legyenek. Ennek a ransomware családnak az a sajátossága, hogy csak jelszó megadása esetén tud futni. Ez egy egyszerű trükk, amellyel megnehezítheti a rosszindulatú programok kutatóinak dolgát. Ez azonban azt is jelentheti, hogy a bűnözők manuálisan telepítik a White Rabbit Ransomware-t, mivel jelszót kell megadniuk a futtatáshoz.

A ransomware bináris mérete is hihetetlenül kicsi – alig több, mint 100 KB. A szakértők azt gyanítják, hogy a rakományt egy korábban beültetett, repedt Cobalt Strike Beacon segítségével szállíthatták ki – ennek az implantátumnak a maradványait találták meg a fertőzött gépeken.

Hogyan történik a támadás?

Amint fut, a fenyegetés ellopja a fájlokat, majd titkosítja az eredeti másolatokat. Ez a kettős zsarolási technika rendszeressé válik, amikor nagy horderejű fenyegetésekről beszélünk. A bűnözők azzal fenyegetőznek, hogy kiszivárogtatják az áldozat érzékeny adatait az interneten, hacsak nem fizetnek. Azt is elmondják nekik, hogy az eredeti fájlokat nem lehet visszaállítani, ha nem fizet. Sajnos a bûnözõk figyelmeztetései igazak – helyreállítási lehetõség jelenleg nincs. A ransomware támadások elleni küzdelem legjobb módja az, ha megelőző intézkedéseket teszünk annak biztosítására, hogy azok ne forduljanak elő. Ennek egyik módja egy naprakész biztonsági szoftvercsomag használata.