Neuer Ransomware-Stamm White Rabbit hat mögliche Verbindungen zu Egregor
Sicherheitsforscher haben kürzlich einen Bericht über einen neuen Ransomware-Stamm veröffentlicht. Die neue Ransomware ist ein Mitglied ihrer eigenen Familie und wurde White Rabbit genannt, nach dem niedlichen ASCII-Häschen, das in der Lösegeldforderung auftaucht. Es wird angenommen, dass die Ransomware mit dem Advanced Persistent Threat Actor namens APT8 zusammenhängt.
APT8 ist eines der finanziell motivierten APTs in der Bedrohungslandschaft, das seit 2018 aktiv ist und Ransomware-Angriffe gegen Unternehmen in der Gastronomie, im Gastgewerbe und im Einzelhandel gestartet hat.
Inhaltsverzeichnis
Ähnlichkeiten zwischen White Rabbit und Egregor
Das Sicherheitsunternehmen Trend Micro veröffentlichte einen Bericht über die neue Ransomware White Rabbit und skizzierte einige Ähnlichkeiten zwischen dem neuen Stamm und der zuvor bekannten Egregor-Ransomware. Die beiden Ransomware-Stämme haben einige sehr ähnliche Methoden und Ansätze, wenn es darum geht, wie sie ihre Spuren verbergen und versuchen, einer Entdeckung zu entgehen, obwohl sie so unterschiedlich sind, dass sie als zwei verschiedene Familien klassifiziert werden können.
White Rabbit wurde erstmals vor ein paar Monaten, kurz vor Weihnachten 2021, genauer untersucht. Der unabhängige Forscher Michael Gillespie veröffentlichte einen Twitter-Beitrag mit Screenshots der vollständigen Lösegeldforderung von White Rabbit und einigen verschlüsselten Beispieldateien, die die für die Verschlüsselung verwendete Erweiterung zeigen Dateien.
White Rabbit strebt nach doppelter Erpressung
Die Ransomware White Rabbit setzt auf doppelte Erpressung – eine Methode, die bei Ransomware-Angriffen fast zur Norm geworden ist. Die Lösegeldforderung droht, dass die Hacker sensible exfiltrierte Informationen veröffentlichen, wenn das Lösegeld nicht bezahlt wird. Im Laufe des letzten Jahres hat sich die doppelte Erpressung so weit verbreitet, dass es fast eine merkwürdige Ausnahme ist, wenn ein neuer Bedrohungsakteur nicht darauf eingeht.
Die Analyse der Payload von White Rabbit zeigte, dass die anfängliche Payload der Ransomware verschlüsselt ist und eine Passwortzeichenfolge verwenden muss, um die interne Konfiguration der endgültigen Payload zu entschlüsseln. In der von den Forschern analysierten Stichprobe lautete die für diesen internen Entschlüsselungsprozess verwendete Passwortzeichenfolge „KissMe“. Die Egregor-Ransomware verwendete sehr ähnliche Verschleierungstechniken, um ihre eigenen bösartigen Aktivitäten zu verbergen, was dazu führte, dass eine mögliche Verbindung zwischen den beiden Ransomware-Familien hergestellt wurde.
Darüber hinaus sind einige der von White Rabbit verwendeten Techniken und Methoden des als APT8 bekannten Bedrohungsakteurs sehr ähnlich.
Lösegeldforderungen überall!
Auf technischer Ebene macht White Rabbit nichts unglaublich Innovatives. Die Ransomware verschlüsselt Dateien auf dem Zielsystem und vermeidet dabei Ordner und Dateien, die die allgemeine Systemstabilität beeinträchtigen könnten. Verzeichnisse mit Systemtreibern, Windows-Betriebssystemdateien und installierter Software unter „Programme“ bleiben intakt. Alle anderen Benutzerdateien werden verschlüsselt und die Erweiterung .scrypt wird den verschlüsselten Dateien hinzugefügt. Die Ransomware legt auch ihre Erpresserbriefe zusammen mit jeder verschlüsselten Datei ab und erstellt Lösegeldscheine mit dem Namen filename.ext.scrypt.txt.