White Rabbit Ransomware utilizza una doppia estorsione, possibile connessione FIN8
Un nuovo trojan di crittografia dei file di alto profilo è stato rilevato dai ricercatori di malware. Le prime informazioni sui suoi attacchi sono emerse nel dicembre 2021, quando è riuscita a rilevare la rete di un importante istituto bancario statunitense. La minaccia, soprannominata White Rabbit Ransomware, sembra avere alcune somiglianze con la famiglia Egregor Ransomware. Tuttavia, è altamente improbabile che lo stesso gruppo di criminali sia responsabile del White Rabbit Ransomware.
Cos'è il ransomware White Rabbit?
I file locker come questo funzionano crittografando i dati sul computer della vittima, assicurando che i loro file siano inaccessibili. La particolarità di questa particolare famiglia di ransomware è che può essere eseguita solo se viene inserita una password. Questo è un semplice trucco per rendere un po' più difficile il compito dei ricercatori di malware. Tuttavia, potrebbe anche significare che i criminali stanno implementando manualmente White Rabbit Ransomware poiché devono inserire una password per eseguirlo.
Anche la dimensione del file binario del ransomware è incredibilmente piccola: poco più di 100 KB. Gli esperti sospettano che il carico utile possa essere stato consegnato con l'assistenza di un Cobalt Strike Beacon precedentemente piantato e rotto: i resti di questo impianto sono stati trovati su macchine infette.
Come si svolge l'attacco?
Una volta in esecuzione, la minaccia ruberà i file e quindi crittograferà le copie originali. Questa tecnica di doppia estorsione sta diventando un evento normale quando si parla di minacce di alto profilo. I criminali minacciano di far trapelare le informazioni sensibili della vittima online a meno che non paghino. Dicono loro anche che i file originali non possono essere recuperati a meno che tu non paghi. Sfortunatamente, gli avvertimenti dei criminali sono veritieri: al momento non ci sono opzioni di recupero. Il modo migliore per contrastare gli attacchi ransomware è adottare misure preventive per garantire che non si verifichino in primo luogo. L'uso di una suite di software di sicurezza aggiornata è uno dei modi per raggiungere questo obiettivo.