L’acteur FIN8 financièrement motivé, selon toute vraisemblance, a refait surface avec une souche de ransomware inédite appelée « lapin blanc » qui a été récemment déployé contre une banque locale aux États-Unis en décembre 2021.

C’est selon de nouvelles découvertes publiées par Trend Micro, appelant les chevauchements du malware avec Egregor, qui a été supprimé par les autorités ukrainiennes chargées de l’application des lois en février 2021.

« L’un des aspects les plus notables de l’attaque de White Rabbit est la façon dont son binaire de charge utile nécessite un mot de passe de ligne de commande spécifique pour déchiffrer sa configuration interne et poursuivre sa routine de ransomware », ont déclaré les chercheurs. c’est noté. « Cette méthode de masquage des activités malveillantes est une astuce que la famille de rançongiciels Egregor utilise pour masquer les techniques de logiciels malveillants de l’analyse. »

Egregor, qui a commencé ses opérations en septembre 2020 jusqu’à ce que ses opérations subissent un énorme coup, est largement considéré comme un réincarnation de Maze, qui a mis fin à son entreprise criminelle plus tard cette année-là.

En plus de tirer une feuille du livre de jeu d’Egregor, White Rabbit adhère au système de double extorsion et aurait été livré via Cobalt Strike, un cadre de post-exploitation utilisé par les acteurs de la menace pour reconnaître, infiltrer et déposer des charges utiles malveillantes dans le système affecté.

La double extorsion, également connue sous le nom de pay-now-or-get-breached, fait référence à une stratégie de ransomware de plus en plus populaire dans laquelle les données précieuses des cibles sont exfiltrées avant le lancement de la routine de cryptage, suivie d’une pression sur les victimes pour qu’elles paient pour empêcher le informations volées d’être publiées en ligne.

En effet, la note de rançon affichée après la fin du processus de cryptage prévient la victime que ses données seront publiées ou vendues une fois le délai de quatre jours pour répondre à ses demandes écoulé. « Nous enverrons également les données à tous les organismes de contrôle intéressés et aux médias », ajoute la note.

Bien que les attaques réelles impliquant White Rabbit n’aient attiré l’attention que récemment, les indices médico-légaux numériques reconstituant sa piste indiquent une série d’activités malveillantes commençant dès juillet 2021.

De plus, l’analyse des échantillons de ransomware datant d’août 2021 montre que le malware est une version mise à jour de la porte dérobée Sardonic, que Bitdefender a décrite l’année dernière comme un malware activement développé rencontré à la suite d’une attaque infructueuse visant une institution financière dans le nous

« La relation exacte entre le groupe White Rabbit et FIN8 est actuellement inconnue », a déclaré la société de cybersécurité Lodestone. mentionné, ajoutant qu’il a trouvé « un certain nombre de TTP suggérant que White Rabbit, s’il opère indépendamment de FIN8, a une relation étroite avec le groupe de menaces le plus établi ou les imite ».

« Étant donné que FIN8 est principalement connu pour ses outils d’infiltration et de reconnaissance, la connexion pourrait être une indication de la façon dont le groupe étend son arsenal pour inclure les ransomwares », a déclaré Trend Micro. « Jusqu’à présent, les cibles de White Rabbit ont été peu nombreuses, ce qui pourrait signifier qu’ils sont encore en train de tester les eaux ou de se préparer pour une attaque à grande échelle. »