White Rabbit Ransomware
En diciembre, justo antes de finales de 2021, surgió una nueva familia de ransomware en el panorama de la ciberdelincuencia en un ataque contra un banco estadounidense. Descubierta por los investigadores de Trend Micro y catalogada como ransomware White Rabbit, la amenaza muestra múltiples características de implementación completa del malware moderno de este tipo. Si bien la rutina de cifrado de White Rabbit es bastante sencilla, muestra un mayor enfoque en enmascarar sus acciones intrusivas. Cabe señalar que ciertos detalles muestran una conexión entre White Rabbit y el grupo APT conocido como FIN8.
Tabla de contenido
Detalles del Conejo Blanco
Después de analizar el ataque, los expertos en seguridad de la información notaron señales de que White Rabbit se implementó en los sistemas objetivo mediante el uso de Cobalt Strike, una herramienta legítima de prueba de penetración que se encuentra a sí misma como parte de ataques maliciosos con bastante frecuencia debido a sus amplias características. El binario de carga real de White Rabbit es un archivo bastante pequeño, de alrededor de 100 KB, que no muestra ninguna cadena o actividad notable.
Para desbloquear sus capacidades destructivas, White Rabbit requiere una contraseña de línea de comandos específica. Posteriormente, la amenaza puede descifrar su configuración interna y comenzar a ejecutar su rutina de cifrado. Esta no es la primera vez que esta técnica en particular ha sido utilizada por una amenaza de ransomware, anteriormente la familia de ransomware Egregor la utilizó para ocultar sus acciones maliciosas.
Proceso de cifrado y demandas
White Rabbit apunta a una amplia gama de tipos de archivos y crea un archivo de texto con un mensaje de nota de rescate idéntico para cada archivo bloqueado. Los nombres de los archivos de texto son una combinación del nombre del archivo relacionado anexado con '.scrypt.txt'. Para garantizar que su proceso de encriptación no se vea obstaculizado, la amenaza es capaz de finalizar procesos y servicios específicos, como los que pertenecen a productos antimalware. White Rabbit también intenta evitar que el sistema se cuelgue o se produzcan errores críticos saltándose los archivos en rutas y directorios importantes. Algunos ejemplos incluyen \desktop.ini, c:\programdata\, :\windows\, %User Temp%\, :\programfiles\ y más.
La nota de rescate muestra que White Rabbit está ejecutando un plan de doble extorsión. Antes de que los archivos hayan sido bloqueados, los piratas informáticos afirman haber robado con éxito datos privados cruciales. Las víctimas tienen 4 días para establecer contacto con los ciberdelincuentes o la información robada se hará pública o se ofrecerá a la venta a organizaciones competidoras. La clave de descifrado necesaria también se eliminará, lo que imposibilitará la restauración de todos los archivos bloqueados.
Conexión a FIN8
El grupo FIN8 APT está principalmente involucrado en operaciones de ciberespionaje, infiltración y reconocimiento. Hay ciertos detalles que vinculan al grupo con la amenaza del ransomware White Rabbit. Según lo declarado por los investigadores de Lodestone, la URL maliciosa vista como parte del ataque White Rabbit se relacionó previamente con el grupo FIN8. Además, sus hallazgos muestran que White Rabbit está utilizando una versión de Badhatch, una puerta trasera que se considera parte del arsenal de herramientas maliciosas de FIN8. Queda por ver si las conexiones entre White Rabbit y FIN8 son accidentales o si el grupo está realmente expandiendo sus actividades y entrando en la escena del ransomware.
