Nieuwe White Rabbit-ransomware mogelijk gerund door FIN8 APT

Beveiligingsonderzoekers hebben een nieuwe ransomware-variant gespot die tot zijn eigen familie behoort. De ransomware heeft de naam White Rabbit gekregen en wordt verondersteld connecties te hebben met de geavanceerde aanhoudende dreigingsactor die bekend staat als APT8.

APT8 is de aanduiding die wordt gegeven aan een financieel gemotiveerde APT die voor het eerst werd opgemerkt in 2018 en aanvallen lanceerde tegen organisaties in de detailhandel en de horeca.

Volgens het rapport van Trend Mirco over de White Rabbit-ransomware deelt de nieuwe soort enkele overeenkomsten met de oudere Egregor-ransomware als het erom gaat zijn sporen uit te wissen en onopgemerkt te blijven.

Eerste detecties en onderzoek

De eerste detecties van White Rabbit-activiteit dateren van half december 2021. Op dezelfde dag dat beveiligingsbedrijf Lodestone een artikel over White Rabbit publiceerde, publiceerde onafhankelijk beveiligingsonderzoeker Michael Gillespie ook een bericht over White Rabbit op zijn Twitter-account. De post van Gillespie bevatte ook de notitie van de ransomware, die naast elk versleuteld bestand was geplaatst, samen met het miniatuur ASCII-art-konijn dat in het tekstbestand van de losgeldbrief was opgenomen.

Het losgeldbriefje doet een poging om het slachtoffer bang te maken voor het klassieke scenario van dubbele afpersing. White Rabbit beweert dat de gegevens van het slachtoffer niet alleen zijn versleuteld, maar ook zijn geëxfiltreerd en zullen worden gelekt als het losgeld niet wordt betaald.

Trend Micro ontdekte ook dat de instantie van White Rabbit die ze analyseerden het wachtwoord "KissMe" gebruikte om de interne configuratie van de payload te decoderen en de daadwerkelijke ransomware te starten. Een zeer vergelijkbare methode werd gebruikt door monsters van de Egregor-ransomware die onderzoekers jaren geleden analyseerden.

Hoewel onderzoekers er niet helemaal zeker van zijn dat White Rabbit wordt beheerd door de FIN8 APT, zijn er een aantal vergelijkbare technieken en methoden voor verkenning en infiltratie die worden gedeeld door White Rabbit en eerdere FIN8-aanvallen.

Versleutelingsmethoden

Wanneer White Rabbit bestanden versleutelt, voegt het de .scrypt-extensie toe aan elk versleuteld bestand en dropt een tweede exemplaar met de .scrypt.txt-extensie voor elk versleuteld bestand. De ransomware vermijdt belangrijke systeemmappen om het doelsysteem normaal te laten functioneren. Mappen die niet worden aangeraakt door White Rabbit zijn de Windows-map en beide Program Files-mappen. Bestanden die mogelijk tot systeemstuurprogramma's behoren, zijn ook niet versleuteld.