Il gruppo FIN8 è riemerso agli onori della cronaca con un ransomware mai visto prima chiamato “White Rabbit”, perchè utilizzato nei confronti di una banca locale negli Stati Uniti nel dicembre 2021.
“Uno degli aspetti più importanti dell’attacco di White Rabbit è il modo in cui il suo payload binario richiede una specifica password della riga di comando per decrittografare la sua configurazione interna e procedere con la sua routine di ransomware“, hanno osservato i ricercatori di Trend Micro. “Questo metodo per nascondere le attività dannose è un trucco che la famiglia di ransomware Egregor utilizza per nascondere i propri malware dall’analisi preventiva”.
Secondo molti Egregor, apparso sulla scena dal settembre 2020, sia una reincarnazione di Maze, che è sparito dalla circolazione nello stesso anno.
Oltre ad avere dei punti programmatici in comune con Egregor, White Rabbit è impiegato per il fenomeno della doppia estorsione e si ritiene che venga distribuito tramite Cobalt Strike, un framework post-sfruttamento utilizzato dagli attori delle minacce informatiche per ricognire, infiltrarsi e rilasciare payload dannosi nel sistema interessato.
Una volta andato a segno il processo di crittografia, viene avvisata la vittima che i suoi dati saranno pubblicati o venduti una volta scaduto il termine di quattro giorni. “Invieremo i dati anche a tutte le organizzazioni di vigilanza e ai media interessati“, aggiunge la nota.
Sebbene gli attacchi che coinvolgono White Rabbit abbiano attirato l’attenzione solo di recente, gli indizi forensi digitali che ne mettono insieme le tracce indicano una serie di attività dannose che iniziano già nel luglio 2021.
Inoltre, l’analisi dei campioni di ransomware risalenti all’agosto 2021 mostra che il malware è una versione aggiornata della backdoor Sardonic, che Bitdefender ha descritto l’anno scorso come un malware incontrato a seguito di un attacco fallito contro un istituto finanziario.
“Dato che FIN8 è noto principalmente per i suoi strumenti di infiltrazione e ricognizione, la connessione potrebbe essere un’indicazione di come il gruppo sta espandendo il suo arsenale per includere il ransomware“, ha affermato Trend Micro. “Finora, gli obiettivi di White Rabbit sono stati pochi, il che potrebbe significare che stanno ancora testando le acque o si stanno riscaldando per un attacco su larga scala“.
