De financieel gemotiveerde FIN8-acteur, is naar alle waarschijnlijkheid weer opgedoken met een nooit eerder vertoonde ransomware-stam genaamd "White Rabbit” dat onlangs in december 2021 werd ingezet tegen een lokale bank in de VS.
Dat is volgens nieuwe bevindingen gepubliceerd door Trend Micro, waarin de overlappingen van de malware met Egregor worden genoemd, die in februari 2021 door de Oekraïense wetshandhavingsinstanties werd verwijderd.
"Een van de meest opvallende aspecten van de aanval van White Rabbit is hoe de payload-binary een specifiek commandoregelwachtwoord vereist om de interne configuratie te decoderen en door te gaan met de ransomware-routine", aldus de onderzoekers. bekend. "Deze methode om kwaadaardige activiteiten te verbergen is een truc die de ransomware-familie Egregor gebruikt om malwaretechnieken te verbergen voor analyse."
Egregor, dat in september 2020 van start ging totdat zijn activiteiten een enorme klap kregen, wordt algemeen beschouwd als een reïncarnatie van Maze, die later dat jaar zijn criminele onderneming stopzette.
Behalve dat hij een blad uit Egregor's speelboek haalt, houdt White Rabbit zich aan het dubbele afpersingsschema en wordt verondersteld te zijn geleverd via Cobalt Strike, een post-exploitatie-framework dat door bedreigingsactoren wordt gebruikt om te verkennen, te infiltreren en kwaadaardige payloads in het getroffen systeem.
Dubbele afpersing, ook wel bekend als pay-now-or-get-breached, verwijst naar een steeds populairdere ransomware-strategie waarbij waardevolle gegevens van de doelwitten worden geëxfiltreerd voordat de coderingsroutine wordt gestart, gevolgd door het onder druk zetten van de slachtoffers om te betalen om te voorkomen dat de gestolen informatie die online wordt gepubliceerd.
De losgeldbrief die na voltooiing van het coderingsproces wordt weergegeven, waarschuwt het slachtoffer inderdaad dat hun gegevens zullen worden gepubliceerd of verkocht zodra de deadline van vier dagen om aan hun eisen te voldoen, is verstreken. "We zullen de gegevens ook naar alle geïnteresseerde toezichthoudende organisaties en de media sturen", voegt de notitie eraan toe.
Hoewel aanvallen in de echte wereld waarbij White Rabbit betrokken is pas recentelijk aandacht hebben gekregen, wijzen digitale forensische aanwijzingen die het spoor bij elkaar brengen op een reeks kwaadaardige activiteiten die al in juli 2021 beginnen.
Bovendien blijkt uit analyse van de ransomware-samples die teruggaan tot augustus 2021 dat de malware een bijgewerkte versie is van de Sardonische achterdeur, die Bitdefender vorig jaar beschreef als een actief ontwikkelde malware die werd aangetroffen in de nasleep van een mislukte aanval gericht op een financiële instelling in de VS
"De exacte relatie tussen de White Rabbit-groep en FIN8 is momenteel onbekend", zegt cyberbeveiligingsbedrijf Lodestone zei, eraan toevoegend dat het een "aantal TTP's vond die suggereren dat White Rabbit, als het onafhankelijk van FIN8 opereert, een nauwe relatie heeft met de meer gevestigde dreigingsgroep of deze nabootst."
"Aangezien FIN8 vooral bekend staat om zijn infiltratie- en verkenningstools, zou de verbinding een indicatie kunnen zijn van hoe de groep zijn arsenaal uitbreidt met ransomware", aldus Trend Micro. "Tot nu toe waren er maar weinig doelwitten van White Rabbit, wat zou kunnen betekenen dat ze nog steeds de wateren testen of zich opwarmen voor een grootschalige aanval."
Bron: https://thehackernews.com/2022/01/fin8-hackers-spotted-using-new-white.html
