Hay una nueva familia de ransomware detectada en la naturaleza. llamado conejo blanco, los investigadores de Trend Micro detectaron el ransomware en ataques silenciosos contra un banco estadounidense en diciembre 2021. Parece que la amenaza usa una página del conocido ransomware Egregor, para ocultar su actividad maliciosa. Los investigadores creen que White Rabbit está afiliado a FIN8 APT (Amenaza Persistente Avanzada) grupo.
Lectura relacionada: Los piratas informáticos de Lazarus APT robaron USD 400 millones en criptomonedas
Lo interesante del nuevo ransomware White Rabbit?
“Uno de los aspectos más notables del ataque de White Rabbit es cómo su binario de carga útil requiere una contraseña de línea de comando específica para descifrar su configuración interna y continuar con su rutina de ransomware.,dijo Trend Micro en un informe.
Esta técnica ha sido utilizada por los operadores de Egregor para ocultar actividades maliciosas del análisis de proveedores.. A primera vista, El expediente de White Rabbit no llama la atención, con su pequeño tamaño de aproximadamente 100 KB y sin cadenas o actividad notables. Lo que delata su carácter malicioso es la presencia de cadenas de registro. Sin embargo, el comportamiento esencial del ransomware no es fácil de observar sin la contraseña correcta.
La telemetría interna de Trend Micro reveló rastros de Cobalt Strike malware comandos que podrían haberse utilizado para infiltrarse en el sistema y eliminar la carga útil de cifrado. También hay evidencia de que la URL maliciosa conectada al ataque White Rabbit está relacionada con FIN8, un conocido jugador de APT.
Los investigadores de Lodestone también notaron que el ransomware está usando una puerta trasera previamente desconocida llamada Badhatch, también asociado con FIN8. Sin embargo, los investigadores no pudieron obtener archivos relacionados con esa URL para realizar un análisis.
En cuanto a su rutina., White Rabbit actúa como un ransomware típico. También realiza una doble extorsión al amenazar a sus objetivos con vender o publicar sus datos robados..
¿Qué pasa con el cifrado de White Rabbit Ransomware??
Por cada archivo encriptado, el ransomware crea una nota separada. Cada nota tiene el nombre del archivo encriptado, y se adjunta con la siguiente extensión – .scrypt.txt.
“Antes de la rutina del ransomware, el malware también finaliza varios procesos y servicios, particularmente los relacionados con antivirus,señaló Trend Micro.
En conclusión, los investigadores creen que el ransomware todavía está en desarrollo. “A pesar de estar en esta etapa temprana, sin embargo, es importante destacar que tiene las características problemáticas del ransomware moderno: Es, después de todo, muy específico y utiliza métodos de doble extorsión. Tal como, vale la pena monitorear," según el informe.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: