Gli esperti di Trend Micro hanno individuato una nuova famiglia di ransomware denominata “White Rabbit”, diventata nota eseguendo un attacco a una banca locale degli Stati Uniti nel dicembre 2021, che potrebbe essere connessa al gruppo APT (Advanced Persistent Threat) FIN8.
White Rabbit prende una pagina dalla famiglia di ransomware Egregor nel nascondere la sua attività dannosa e porta un potenziale connessione al gruppo FIN8. Il payload binario richiede una specifica password della riga di comando per decrittografare la sua configurazione interna e procedere con la sua routine di ransomware, trucco che Egregor utilizza per nascondere le tecniche di malware dall’analisi.
Il carico utile di White Rabbit è poco appariscente a prima vista, essendo un piccolo file di circa 100 KB senza stringhe degne di nota e apparentemente senza attività. Ciò che indica la sua origine dannosa è la presenza di stringhe per la registrazione, ma il comportamento effettivo non sarebbe facilmente osservabile senza la password corretta.
La routine del ransomware in sé non è complicata: White Rabbit usa la doppia estorsione e nella richiesta di riscatto minaccia i suoi obiettivi che i loro dati rubati verranno pubblicati o venduti.
Il ransomware crea una nota per ogni file crittografato. Ogni nota porta il nome del file crittografato e viene aggiunta con “.scrypt.txt”. Prima della routine del ransomware, il malware interrompe anche diversi processi e servizi, in particolare quelli relativi agli antivirus.
Al momento, gli esperti di Trend Micro stanno ancora determinando se FIN8 e White Rabbit sono effettivamente correlati o se condividono lo stesso creatore. Dal momento che FIN8 è noto principalmente per i suoi strumenti di infiltrazione e ricognizione, la connessione potrebbe essere un’indicazione di come il gruppo stia espandendo il suo arsenale per includere il ransomware.
“Finora, gli obiettivi di White Rabbit sono stati pochi, il che potrebbe significare che stanno ancora testando le acque o si stanno riscaldando per un attacco su larga scala.
È quindi probabile che White Rabbit sia ancora nella sua fase di sviluppo, considerando la sua semplice routine di ransomware. Nonostante sia in questa fase iniziale, tuttavia, è importante sottolineare che presenta le caratteristiche problematiche dei ransomware moderni: dopotutto è altamente mirato e utilizza metodi di doppia estorsione. In quanto tale, vale la pena monitorare”, conclude Trend Micro.
