White Rabbit Ransomware
Bereits im Dezember, kurz vor Ende des Jahres 2021, tauchte bei einem Angriff auf eine US-Bank eine neue Ransomware-Familie in der Cybercrime-Landschaft auf. Die von den Forschern von Trend Micro entdeckte und als White Rabbit-Ransomware gehandelte Bedrohung weist mehrere vollständig implementierte Merkmale moderner Malware dieses Typs auf. Während die Verschlüsselungsroutine von White Rabbit ziemlich unkompliziert ist, zeigt sie einen verstärkten Fokus auf die Verschleierung ihrer Eingriffe. Es sollte beachtet werden, dass bestimmte Details eine Verbindung zwischen White Rabbit und der als FIN8 bekannten APT-Gruppe zeigen.
Inhaltsverzeichnis
Weiße Kaninchen-Details
Nach der Analyse des Angriffs bemerkten die Infosec-Experten Anzeichen dafür, dass White Rabbit mithilfe von Cobalt Strike, einem legitimen Penetrationstest-Tool, das aufgrund seiner umfangreichen Funktionen häufig Teil böswilliger Angriffe ist, auf den Zielsystemen eingesetzt wurde. Die eigentliche Nutzdaten-Binärdatei von White Rabbit ist eine ziemlich kleine Datei, etwa 100 KB groß, die keine erkennbaren Zeichenfolgen oder Aktivitäten aufweist.
Um seine zerstörerischen Fähigkeiten freizuschalten, benötigt White Rabbit ein bestimmtes Befehlszeilenpasswort. Anschließend kann die Bedrohung ihre interne Konfiguration entschlüsseln und mit der Ausführung ihrer Verschlüsselungsroutine beginnen. Dies ist nicht das erste Mal, dass diese spezielle Technik von einer Ransomware-Bedrohung verwendet wird, zuvor nutzte die Ransomware-Familie Egregor sie, um ihre böswilligen Aktionen zu verbergen.
Verschlüsselungsprozess und Anforderungen
White Rabbit zielt auf eine Vielzahl von Dateitypen ab und erstellt eine Textdatei mit einer identischen Lösegeldforderung für jede gesperrte Datei. Die Namen der Textdateien sind eine Kombination aus dem Namen der zugehörigen Datei mit dem Zusatz „.scrypt.txt“. Um sicherzustellen, dass der Verschlüsselungsprozess nicht behindert wird, ist die Bedrohung in der Lage, bestimmte Prozesse und Dienste zu beenden, beispielsweise solche, die zu Anti-Malware-Produkten gehören. White Rabbit versucht auch, Systemabstürze oder kritische Fehler zu vermeiden, indem es die Dateien in wichtigen Pfaden und Verzeichnissen überspringt. Einige Beispiele sind \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ und mehr.
Die Lösegeldforderung zeigt, dass White Rabbit ein doppeltes Erpressungsprogramm betreibt. Bevor die Dateien gesperrt wurden, behaupten die Hacker, wichtige private Daten erfolgreich gestohlen zu haben. Die Opfer haben 4 Tage Zeit, um Kontakt mit den Cyberkriminellen aufzunehmen, oder die gestohlenen Informationen werden der Öffentlichkeit zugänglich gemacht oder konkurrierenden Organisationen zum Verkauf angeboten. Der notwendige Entschlüsselungsschlüssel wird ebenfalls gelöscht, wodurch die Wiederherstellung aller gesperrten Dateien unmöglich wird.
Verbindung zu FIN8
Die FIN8 APT-Gruppe ist hauptsächlich an Cyberspionage-, Infiltrations- und Aufklärungsoperationen beteiligt. Es gibt bestimmte Details, die die Gruppe mit der Ransomware-Bedrohung von White Rabbit in Verbindung bringen. Wie die Forscher von Lodestone feststellten, war die schädliche URL, die im Rahmen des White-Rabbit-Angriffs gesehen wurde, zuvor mit der FIN8-Gruppe in Verbindung gebracht worden. Darüber hinaus zeigen ihre Ergebnisse, dass White Rabbit eine Version von Badhatch verwendet, einer Hintertür, die als Teil des Arsenals bösartiger Tools von FIN8 gilt. Ob die Verbindungen zwischen White Rabbit und FIN8 zufällig sind oder die Gruppe ihre Aktivitäten tatsächlich ausweitet und in die Ransomware-Szene einsteigt, bleibt abzuwarten.
