Nuovo White Rabbit ransomware possibilmente gestito da FIN8 APT

I ricercatori di sicurezza hanno individuato una nuova variante di ransomware che appartiene alla sua stessa famiglia. Il ransomware è stato chiamato White Rabbit e si ritiene che abbia connessioni con l'avanzato attore di minacce persistenti noto come APT8.

APT8 è il designatore assegnato a un APT motivato finanziariamente che è stato individuato per la prima volta nel 2018 e ha lanciato attacchi contro organizzazioni nei settori della vendita al dettaglio e dell'ospitalità.

Secondo il rapporto di Trend Mirco sul ransomware White Rabbit, il nuovo ceppo condivide alcune somiglianze con il vecchio ransomware Egregor quando si tratta di coprire le sue tracce e rimanere inosservato.

Prime rilevazioni ed esami

I primi rilevamenti dell'attività di White Rabbit risalgono a metà dicembre 2021. Lo stesso giorno in cui la società di sicurezza Lodestone ha pubblicato un articolo su White Rabbit, anche il ricercatore di sicurezza indipendente Michael Gillespie ha pubblicato un post su White Rabbit sul suo account Twitter. Il post di Gillespie includeva anche la nota del ransomware, rilasciata insieme a ogni singolo file crittografato, insieme al coniglio in miniatura ASCII-art incluso nel file di testo della richiesta di riscatto.

La richiesta di riscatto fa uno sforzo per spaventare la vittima nel classico scenario della doppia estorsione. White Rabbit afferma che i dati della vittima non solo sono stati crittografati, ma sono stati anche esfiltrati e verranno divulgati se il riscatto non viene pagato.

Trend Micro ha anche notato che l'istanza di White Rabbit che hanno analizzato utilizzava la password "KissMe" per decrittografare la configurazione interna del payload e avviare il ransomware effettivo. Un metodo molto simile è stato utilizzato da campioni del ransomware Egregor che i ricercatori hanno analizzato anni fa.

Anche se i ricercatori non sono completamente certi che White Rabbit sia gestito dall'APT FIN8, ci sono una serie di tecniche e metodi simili di ricognizione e infiltrazione condivisi tra White Rabbit e gli attacchi FIN8 passati.

Metodi di crittografia

Quando White Rabbit crittografa i file, aggiunge l'estensione .scrypt a ogni file crittografato, quindi rilascia una seconda istanza con l'estensione .scrypt.txt per ogni file crittografato. Il ransomware evita importanti directory di sistema per consentire al sistema di destinazione di funzionare normalmente. Le cartelle che non vengono toccate da White Rabbit includono la cartella Windows ed entrambe le cartelle Programmi. Anche i file che potenzialmente appartengono ai driver di sistema non vengono crittografati.