Une nouvelle famille de rançongiciels appelée « White Rabbit » est récemment apparue dans la nature et, selon les résultats de recherches récentes, pourrait être une opération parallèle du groupe de piratage FIN8.
FIN8 est un acteur à motivation financière qui a été repéré ciblant des organisations financières depuis plusieurs années, principalement en déployant des logiciels malveillants de point de vente capables de voler les détails de la carte de crédit.
Un outil simple pour réaliser une double extorsion
La première mention publique du ransomware White Rabbit était dans un tweet de l’expert en ransomware Michael Gillespie, à la recherche d’un échantillon du malware.
#Ransomware Hunt : « White Rabbit » avec l’extension « .scrypt », supprime une note pour chaque fichier crypté avec « .scrypt.txt » avec des informations spécifiques à la victime : https://t.co/ZjVay8A3Ch
« Suis le lapin blanc… » pic.twitter.com/lhzHi5t1KK– Michael Gillespie (@ demonslay335) 14 décembre 2021
Dans un nouveau rapport de Trend Micro, des chercheurs analysent un échantillon du rançongiciel White Rabbit obtenu lors d’une attaque contre une banque américaine en décembre 2021.
L’exécutable du ransomware est une petite charge utile, pesant un fichier de 100 Ko, et nécessite la saisie d’un mot de passe lors de l’exécution de la ligne de commande pour déchiffrer la charge utile malveillante.
Un mot de passe pour exécuter la charge utile malveillante a déjà été utilisé par d’autres opérations de ransomware, notamment Egregor, MegaCortex et SamSam.
Une fois exécuté avec le mot de passe correct, le rançongiciel analysera tous les dossiers de l’appareil et cryptera les fichiers ciblés, créant des notes de rançon pour chaque fichier qu’il crypte.
Par exemple, un fichier nommé test.txt serait crypté en tant que test.txt.scrypt, et une note de rançon serait créée nommée test.txt.scrypt.txt.
Lors du chiffrement d’un appareil, les lecteurs amovibles et réseau sont également ciblés, les dossiers système Windows étant exclus du chiffrement pour éviter de rendre le système d’exploitation inutilisable.
La note de rançon informe la victime que ses fichiers ont été exfiltrés et menace de publier et/ou de vendre les données volées si les demandes ne sont pas satisfaites.
Source : Trend Micro
Le délai pour que la victime paie une rançon est fixé à quatre jours, après quoi les acteurs menacent d’envoyer les données volées aux autorités de protection des données, entraînant des sanctions pour violation du RGPD.
La preuve des fichiers volés est téléchargée vers des services tels que « coller[.]com’ et ‘fichier[.]io », tandis que la victime se voit proposer un canal de communication par chat en direct avec les acteurs sur un site de négociation Tor.
Le site Tor comprend une « page principale », utilisée pour afficher la preuve des données volées, et une section de chat où la victime peut communiquer avec les acteurs de la menace et négocier une demande de rançon, comme indiqué ci-dessous.
Liens vers FIN8
Comme noté dans le Rapport Trend Micro, la preuve qui relie FIN8 et ‘White Rabbit’ se trouve dans la phase de déploiement du ransomware.
Plus précisément, le nouveau rançongiciel utilise une version inédite de Badhatch (alias « Sardonic »), une porte dérobée associée à FIN8.
En règle générale, ces acteurs gardent leurs portes dérobées personnalisées pour eux et continuent de les développer en privé.
Cette découverte est également confirmée par un autre rapport sur la même famille de rançongiciels réalisé par les chercheurs de Lodestone.
Ils ont également trouvé Badhatch dans les attaques de « White Rabbit », tout en remarquant des artefacts PowerShell similaires à l’activité associée à FIN8 de l’été dernier.
Comme le rapport Lodestone conclut: « Lodestone a identifié un certain nombre de TTP suggérant que White Rabbit, s’il opère indépendamment de FIN8, entretient une relation étroite avec le groupe de menaces le plus établi ou les imite. »
Pour l’instant, White Rabbit s’est limité à ne cibler que quelques entités, mais est considéré comme une menace émergente qui pourrait devenir une grave menace pour les entreprises à l’avenir.
À ce stade, il peut être contenu en prenant des mesures anti-ransomware standard comme les suivantes :
- Déployez des solutions de détection et de réponse multicouches.
- Créez un manuel de réponse aux incidents pour la prévention des attaques et la récupération.
- Effectuez des simulations d’attaques de ransomwares pour identifier les lacunes et évaluer les performances.
- Effectuez des sauvegardes, testez des sauvegardes, vérifiez les sauvegardes et conservez des sauvegardes hors ligne.