White Rabbit Ransomware usa dupla extorsão, possível conexão FIN8
Um novo Trojan de criptografia de arquivos de alto perfil foi detectado por pesquisadores de malware. As primeiras informações sobre seus ataques surgiram em dezembro de 2021, quando conseguiu assumir a rede de uma grande instituição bancária dos EUA. A ameaça, apelidada de White Rabbit Ransomware, parece ter algumas semelhanças com a família Egregor Ransomware. No entanto, é altamente improvável que o mesmo grupo de criminosos seja responsável pelo White Rabbit Ransomware.
O que é o White Rabbit Ransomware?
Armários de arquivos como este funcionam criptografando dados na máquina da vítima, garantindo que seus arquivos fiquem inacessíveis. O que é peculiar sobre essa família de ransomware em particular é que ela só pode ser executada se uma senha for inserida. Este é um truque simples para tornar a tarefa dos pesquisadores de malware um pouco mais difícil. No entanto, também pode significar que os criminosos estão implantando o White Rabbit Ransomware manualmente, pois precisam inserir uma senha para executá-lo.
O tamanho do binário do ransomware também é incrivelmente pequeno – pouco mais de 100 KB. Especialistas suspeitam que a carga útil pode ter sido entregue com a ajuda de um Cobalt Strike Beacon previamente plantado e rachado – restos desse implante foram encontrados em máquinas infectadas.
Como é realizado o ataque?
Uma vez executada, a ameaça roubará arquivos e criptografará as cópias originais. Essa técnica de dupla extorsão está se tornando uma ocorrência regular quando se fala de ameaças de alto perfil. Os criminosos ameaçam vazar informações confidenciais da vítima online, a menos que paguem. Eles também informam que os arquivos originais não podem ser recuperados a menos que você pague. Infelizmente, os avisos dos criminosos são verdadeiros – não há opção de recuperação no momento. A melhor maneira de lidar com ataques de ransomware é tomar medidas preventivas para garantir que eles não aconteçam em primeiro lugar. Usar um pacote de software de segurança atualizado é uma das maneiras de conseguir isso.