White Rabbit Ransomware använder dubbel utpressning, möjlig FIN8-anslutning

En ny högprofilerad filkrypteringstrojan har upptäckts av skadlig programvara. Den första informationen om dess attacker dök upp i december 2021, när den lyckades ta över nätverket för en stor amerikansk bankinstitution. Hotet, kallat White Rabbit Ransomware, verkar ha vissa likheter med familjen Egregor Ransomware. Det är dock högst osannolikt att samma grupp kriminella är ansvarig för White Rabbit Ransomware.

Vad är White Rabbit Ransomware?

Fillås som detta fungerar genom att kryptera data på offrets dator, vilket säkerställer att deras filer är otillgängliga. Det som är märkligt med just den här ransomware-familjen är att den bara kan köras om ett lösenord anges. Detta är ett enkelt knep för att göra uppgiften för forskare om skadlig programvara lite svårare. Det kan dock också innebära att brottslingarna distribuerar White Rabbit Ransomware manuellt eftersom de måste ange ett lösenord för att köra det.

Storleken på ransomware binär är också otroligt liten – bara lite över 100KB. Experter misstänker att nyttolasten kan ha levererats med hjälp av en tidigare planterad, sprucken Cobalt Strike Beacon – rester av detta implantat hittades på infekterade maskiner.

Hur går attacken till?

När hotet väl har körts kommer det att stjäla filer och sedan kryptera originalkopiorna. Denna dubbel utpressningsteknik blir en vanlig företeelse när man talar om högprofilerade hot. Brottslingarna hotar att läcka offrets känsliga information på nätet om de inte betalar. De berättar också att originalfilerna inte kan återställas om du inte betalar. Tyvärr är brottslingarnas varningar sanna – det finns inget återställningsalternativ just nu. Det bästa sättet att tackla ransomware-attacker är att vidta förebyggande åtgärder för att säkerställa att de inte inträffar i första hand. Att använda en uppdaterad säkerhetsprogramsvit är ett av sätten att uppnå detta.