Novo Ransomware White Rabbit Possivelmente Executado pelo FIN8 APT

Pesquisadores de segurança identificaram uma nova variante de ransomware que pertence à sua própria família. O ransomware foi nomeado White Rabbit e acredita-se que tenha conexões com o agente avançado de ameaças persistentes conhecido como APT8.

APT8 é o designador dado a um APT com motivação financeira que foi detectado pela primeira vez em 2018 e lançou ataques contra organizações dos setores de varejo e hospitalidade.

De acordo com o relatório da Trend Mirco sobre o ransomware White Rabbit, a nova cepa compartilha algumas semelhanças com o ransomware Egregor mais antigo quando se trata de cobrir seus rastros e permanecer indetectável.

Primeiras Detecções e Exame

As primeiras detecções de atividade do White Rabbit datam de meados de dezembro de 2021. No mesmo dia em que a empresa de segurança Lodestone publicou um artigo sobre o White Rabbit, o pesquisador de segurança independente Michael Gillespie também publicou um post sobre o White Rabbit em sua conta no Twitter. A postagem de Gillespie também incluiu a nota do ransomware, colocada ao lado de cada arquivo criptografado, juntamente com o coelho em miniatura de arte ASCII incluído no arquivo de texto da nota de resgate.

A nota de resgate faz um esforço para assustar a vítima no cenário clássico de extorsão dupla. O White Rabbit afirma que os dados da vítima não apenas foram criptografados, mas também foram exfiltrados e vazarão se o resgate não for pago.

A Trend Micro também detectou que a instância do White Rabbit que eles analisaram usou a senha "KissMe" para descriptografar a configuração interna da carga útil e iniciar o ransomware real. Um método muito semelhante foi usado por amostras do ransomware Egregor que os pesquisadores analisaram anos atrás.

Embora os pesquisadores não tenham certeza absoluta de que o White Rabbit é operado pelo FIN8 APT, existem várias técnicas e métodos semelhantes de reconhecimento e infiltração compartilhados entre o White Rabbit e os ataques anteriores do FIN8.

Métodos de criptografia

Quando o White Rabbit criptografa arquivos, ele anexa a extensão .scrypt a cada arquivo codificado e, em seguida, descarta uma segunda instância com a extensão .scrypt.txt para cada arquivo criptografado. O ransomware evita diretórios importantes do sistema para permitir que o sistema de destino funcione normalmente. As pastas que não são tocadas pelo White Rabbit incluem a pasta Windows e as duas pastas de Arquivos de Programas. Os arquivos que potencialmente pertencem aos drivers do sistema também não são criptografados.