La nueva variedad de ransomware White Rabbit tiene posibles vínculos con Egregor
Los investigadores de seguridad publicaron un informe reciente sobre una nueva variedad de ransomware. El nuevo ransomware es un miembro de su propia familia y ha sido apodado White Rabbit, en honor al lindo conejito ASCII que aparece en la nota de rescate. Se cree que el ransomware está relacionado con el actor de amenazas persistente avanzado conocido como APT8.
APT8 es una de las APT con motivación financiera en el panorama de amenazas, que ha estado activa desde 2018 y ha lanzado ataques de ransomware contra empresas en las industrias de restaurantes, hotelería y venta minorista.
Tabla de contenido
Similitudes entre White Rabbit y Egregor
La firma de seguridad Trend Micro publicó un informe sobre el nuevo ransomware White Rabbit y describió algunas similitudes entre la nueva cepa y el ransomware Egregor conocido anteriormente. Las dos cepas de ransomware tienen algunos métodos y enfoques muy similares en lo que respecta a la forma en que ocultan sus huellas e intentan evitar la detección, aunque son lo suficientemente diferentes como para clasificarse como dos familias diferentes.
White Rabbit se examinó con más detalle por primera vez hace un par de meses, justo antes de la Navidad de 2021. El investigador independiente Michael Gillespie publicó una publicación en Twitter que contenía capturas de pantalla de la nota de rescate completa de White Rabbit y un par de archivos cifrados de muestra, mostrando la extensión utilizada para el cifrado. archivos
White Rabbit apuesta por la doble extorsión
El ransomware White Rabbit busca la doble extorsión, un método que casi se ha convertido en la norma cuando se trata de ataques de ransomware. La nota de rescate amenaza con que los piratas informáticos publicarán información confidencial extraída si no se paga el rescate. Durante el último año, la doble extorsión se ha generalizado tanto que si un nuevo actor de amenazas no lo hace, es casi una curiosa excepción.
El análisis de la carga útil de White Rabbit mostró que la carga útil inicial del ransomware está encriptada y necesita usar una cadena de contraseña para descifrar la configuración interna de la carga útil final. En la muestra analizada por los investigadores, la cadena de contraseña utilizada para este proceso de descifrado interno fue "KissMe". El ransomware Egregor usó técnicas de ofuscación muy similares para ocultar su propia actividad maliciosa, lo que llevó a establecer un posible vínculo entre las dos familias de ransomware.
Además, algunas de las técnicas y métodos utilizados por White Rabbit son muy similares a la metodología del actor de amenazas conocido como APT8.
¡Notas de rescate por todas partes!
A nivel técnico, White Rabbit no hace nada increíblemente innovador. El ransomware cifra los archivos en el sistema de destino y evita las carpetas y los archivos que pueden comprometer la estabilidad general del sistema. Los directorios que contienen controladores del sistema, archivos del sistema operativo Windows y software instalado en Archivos de programa se mantienen intactos. Todos los demás archivos de usuario están encriptados y la extensión .scrypt se agrega a los archivos encriptados. El ransomware también suelta su nota de rescate en todos y cada uno de los archivos cifrados, produciendo notas de rescate denominadas filename.ext.scrypt.txt.