FIN8 ha acquisito il proprio ransomware White Rabbit

Redazione RHC : 19 Gennaio 2022 07:26

La società di sicurezza Trend Micro ha scoperto una nuova famiglia di ransomware soprannominata White Rabbit che secondo loro potrebbe essere uno spin-off di FIN8.

FIN8 è un gruppo di criminali informatici con motivazioni finanziarie che attacca le istituzioni finanziarie da diversi anni, principalmente attraverso malware POS che ruba le informazioni sulle carte di credito.

Prompt Engineering & Sicurezza: diventa l’esperto che guida l’AI Vuoi dominare l’AI generativa e usarla in modo sicuro e professionale? Con il Corso Prompt Engineering: dalle basi alla cybersecurity, guidato da Luca Vinciguerra, data scientist ed esperto di sicurezza informatica, impari a creare prompt efficaci, ottimizzare i modelli linguistici e difenderti dai rischi legati all’intelligenza artificiale. Un percorso pratico e subito spendibile per distinguerti nel mondo del lavoro. Non restare indietro: investi oggi nelle tue competenze e porta il tuo profilo professionale a un nuovo livello. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected] Supporta RHC attraverso:   L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La prima menzione pubblica di White Rabbit è un tweet dell’esperto di sicurezza delle informazioni Michael Gillespie, in cui chiede un campione per l’analisi. I ricercatori di Trend Micro hanno analizzato un campione di White Rabbit ottenuto dopo un attacco a una banca statunitense nel dicembre 2021.

L’eseguibile del ransomware è un piccolo payload di appena 100 KB e richiede l’inserimento di una password su riga di comando per decrittografarlo.

Quando viene eseguito, White Rabbit esegue la scansione di tutte le cartelle sul dispositivo e crittografa i file, creando una richiesta di riscatto separata per ciascuna di esse. Ad esempio, dopo la crittografia, un file denominato test.txt diventerà test.txt.scrypt e verrà creata una nota con il nome file test.txt.scrypt.txt.

Il malware crittografa anche la memoria rimovibile e di rete, ma non tocca le cartelle di sistema di Windows in modo che il sistema operativo continui a funzionare.

La richiesta di riscatto informa la vittima che i suoi file sono stati rubati e, in caso di mancato riscatto, tali dati verranno rilasciati e/o venduti. Sono concessi quattro giorni per soddisfare i requisiti, dopodiché gli aggressori minacciano di inviare i dati rubati alle autorità di regolamentazione della protezione dei dati e la vittima rischia di essere accusata di aver violato il Regolamento generale sulla protezione dei dati (GDPR).

Secondo la nota, la vittima deve contattare la gang ransomware tramite una chat sul proprio sito sulla rete Tor.

Gli esperti hanno scoperto una possibile connessione tra FIN8 e White Rabbit durante lo sviluppo del ransomware. Infatti, utilizza una versione mai vista prima della backdoor Badhatch (aka Sardonic) dall’arsenale FIN8. Di norma, gruppi come FIN8 non condividono i propri strumenti ma li migliorano regolarmente per se stessi.

Finora White Rabbit ha attaccato solo poche organizzazioni, ma è già considerata una minaccia emergente che può causare danni considerevoli alle aziende in futuro.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli