La nouvelle souche White Rabbit Ransomware a des liens possibles avec Egregor
Des chercheurs en sécurité ont publié un rapport récent sur une nouvelle souche de ransomware. Le nouveau ransomware fait partie de sa propre famille et a été surnommé White Rabbit, d'après le mignon lapin ASCII qui apparaît dans la note de rançon. On pense que le ransomware est lié à l'acteur avancé de menace persistante connu sous le nom d'APT8.
APT8 est l'un des APT à motivation financière dans le paysage des menaces, qui est actif depuis 2018 et a lancé des attaques de ransomware contre des entreprises des secteurs de la restauration, de l'hôtellerie et de la vente au détail.
Table des matières
Similitudes entre le lapin blanc et l’égrégore
La société de sécurité Trend Micro a publié un rapport sur le nouveau ransomware White Rabbit et a souligné certaines similitudes entre la nouvelle souche et le ransomware Egregor précédemment connu. Les deux souches de rançongiciels ont des méthodes et des approches très similaires en ce qui concerne la façon dont ils cachent leurs traces et tentent d'éviter la détection, même s'ils sont suffisamment différents pour être classés dans deux familles différentes.
White Rabbit a été examiné pour la première fois plus en détail il y a quelques mois, juste avant Noël 2021. Le chercheur indépendant Michael Gillespie a publié un article sur Twitter contenant des captures d'écran de la note de rançon complète de White Rabbit et quelques exemples de fichiers cryptés, présentant l'extension utilisée pour le chiffrement. des dossiers.
Le lapin blanc opte pour la double extorsion
Le ransomware White Rabbit opte pour la double extorsion - une méthode qui est presque devenue la norme en matière d'attaques de ransomwares. La note de rançon menace que les pirates publient des informations sensibles exfiltrées si la rançon n'est pas payée. Au cours de l'année dernière, la double extorsion s'est tellement répandue que si un nouvel acteur menaçant n'y parvient pas, c'est presque une curieuse exception.
L'analyse de la charge utile de White Rabbit a montré que la charge utile initiale du ransomware est chiffrée et doit utiliser une chaîne de mot de passe pour déchiffrer la configuration interne de la charge utile finale. Dans l'échantillon analysé par les chercheurs, la chaîne de mot de passe utilisée pour ce processus de décryptage interne était "KissMe". Le ransomware Egregor a utilisé des techniques d'obscurcissement très similaires pour masquer sa propre activité malveillante, ce qui a conduit à établir un lien possible entre les deux familles de ransomwares.
De plus, certaines des techniques et méthodes utilisées par White Rabbit sont très similaires à la méthodologie de l'acteur menaçant connu sous le nom d'APT8.
Notes de rançon partout !
Sur le plan technique, White Rabbit ne fait rien d'incroyablement innovant. Le rançongiciel crypte les fichiers sur le système cible tout en évitant les dossiers et fichiers susceptibles de compromettre la stabilité globale du système. Les répertoires contenant les pilotes système, les fichiers du système d'exploitation Windows et les logiciels installés sous Program Files sont conservés intacts. Tous les autres fichiers utilisateur sont cryptés et l'extension .scrypt est ajoutée aux fichiers cryptés. Le ransomware dépose également sa note de rançon sur chaque fichier crypté, produisant des notes de rançon nommées filename.ext.scrypt.txt.