White Rabbit Ransomware bruker dobbel utpressing, mulig FIN8-tilkobling

En ny høyprofilert filkrypteringstrojaner har blitt oppdaget av skadevareforskere. Den første informasjonen om angrepene dukket opp i desember 2021, da den klarte å overta nettverket til en stor amerikansk bankinstitusjon. Trusselen, kalt White Rabbit Ransomware, ser ut til å ha noen likheter med Egregor Ransomware-familien. Det er imidlertid svært usannsynlig at samme gruppe kriminelle er ansvarlige for White Rabbit Ransomware.

Hva er White Rabbit Ransomware?

Fillåse som denne fungerer ved å kryptere data på offerets maskin, og sikre at filene deres er utilgjengelige. Det som er særegent med denne ransomware-familien er at den bare kan kjøres hvis et passord er angitt. Dette er et enkelt triks for å gjøre oppgaven til skadevareforskere litt vanskeligere. Imidlertid kan det også bety at de kriminelle distribuerer White Rabbit Ransomware manuelt siden de må angi et passord for å kjøre den.

Størrelsen på ransomware binær er også utrolig liten – bare litt over 100KB. Eksperter mistenker at nyttelasten kan ha blitt levert med assistanse av et tidligere plantet, sprukket Cobalt Strike Beacon – rester av dette implantatet ble funnet på infiserte maskiner.

Hvordan utføres angrepet?

Når trusselen kjører, vil den stjele filer, og deretter kryptere de originale kopiene. Denne doble utpressingsteknikken er i ferd med å bli en vanlig forekomst når man snakker om høyprofilerte trusler. De kriminelle truer med å lekke offerets sensitive informasjon på nettet med mindre de betaler. De forteller dem også at de originale filene ikke kan gjenopprettes med mindre du betaler. Dessverre er advarslene til de kriminelle sanne - det er ingen gjenopprettingsalternativ for øyeblikket. Den beste måten å takle løsepenge-angrep på er å ta forebyggende tiltak for å sikre at de ikke skjer i utgangspunktet. Å bruke en oppdatert sikkerhetsprogramvarepakke er en av måtene å oppnå dette på.