White Rabbit Ransomware
En décembre, juste avant la fin de 2021, une nouvelle famille de rançongiciels est apparue dans le paysage de la cybercriminalité lors d'une attaque contre une banque américaine. Découverte par les chercheurs de Trend Micro et désignée sous le nom de rançongiciel White Rabbit, la menace affiche plusieurs caractéristiques pleinement implémentées des logiciels malveillants modernes de ce type. Bien que la routine de chiffrement de White Rabbit soit assez simple, elle montre une concentration accrue sur le masquage de ses actions intrusives. Il est à noter que certains détails montrent un lien entre White Rabbit et le groupe APT connu sous le nom de FIN8.
Table des matières
Détails du lapin blanc
Après avoir analysé l'attaque, les experts de l'infosec ont remarqué des signes indiquant que White Rabbit avait été déployé sur les systèmes ciblés grâce à l'utilisation de Cobalt Strike, un outil de test d'intrusion légitime qui fait souvent partie des attaques malveillantes en raison de ses fonctionnalités étendues. Le fichier binaire de la charge utile White Rabbit est un fichier plutôt petit, d'environ 100 Ko, qui ne montre aucune chaîne ou activité notable.
Pour déverrouiller ses capacités destructrices, White Rabbit nécessite un mot de passe de ligne de commande spécifique. Ensuite, la menace peut déchiffrer sa configuration interne et commencer à exécuter sa routine de chiffrement. Ce n'est pas la première fois que cette technique particulière est utilisée par une menace de ransomware, auparavant la famille de ransomware Egregor l'utilisait pour cacher ses actions malveillantes.
Processus et exigences de chiffrement
White Rabbit cible un large éventail de types de fichiers et crée un fichier texte avec un message de demande de rançon identique pour chaque fichier verrouillé. Les noms des fichiers texte sont une combinaison du nom du fichier associé suivi de ".scrypt.txt". Pour s'assurer que son processus de cryptage n'est pas entravé, la menace est capable de mettre fin à des processus et services spécifiques, tels que ceux appartenant à des produits anti-malware. White Rabbit essaie également d'éviter de provoquer des plantages du système ou des erreurs critiques en sautant les fichiers dans les chemins et répertoires importants. Certains exemples incluent \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ , etc.
La note de rançon montre que White Rabbit exécute un programme de double extorsion. Avant que les fichiers ne soient verrouillés, les pirates prétendent avoir volé avec succès des données privées cruciales. Les victimes disposent de 4 jours pour établir le contact avec les cybercriminels ou les informations volées seront rendues publiques ou proposées à la vente à des organisations concurrentes. La clé de déchiffrement nécessaire sera également supprimée, rendant impossible la restauration de tous les fichiers verrouillés.
Connexion à FIN8
Le groupe FIN8 APT est principalement impliqué dans des opérations de cyberespionnage, d'infiltration et de reconnaissance. Certains détails lient le groupe à la menace du rançongiciel White Rabbit. Comme l'ont déclaré les chercheurs de Lodestone, l'URL malveillante considérée comme faisant partie de l'attaque White Rabbit était auparavant liée au groupe FIN8. De plus, leurs découvertes montrent que White Rabbit utilise une version de Badhatch, une porte dérobée considérée comme faisant partie de l'arsenal d'outils malveillants de FIN8. Si les connexions entre White Rabbit et FIN8 sont accidentelles ou si le groupe étend réellement ses activités et entre sur la scène des ransomwares, cela reste à voir.
