Inicio /White Rabbit Ransomware muestra afiliación a FIN8 APT

White Rabbit Ransomware muestra afiliación a FIN8 APT

Enviado por csirtutpl el Sáb, 01/22/2022 - 08:46

Hay una nueva familia de ransomware detectada en la naturaleza llamado conejo blanco. Los investigadores de Trend Micro detectaron el ransomware en ataques silenciosos contra un banco estadounidense en diciembre 2021. Parece que la amenaza usa una página del conocido ransomware Egregor, para ocultar su actividad maliciosa. Los investigadores creen que White Rabbit está afiliado a FIN8 APT (Amenaza Persistente Avanzada) grupo.

¿Qué es lo interesante del nuevo ransomware White Rabbit?

“Uno de los aspectos más notables del ataque de White Rabbit es cómo su binario de carga útil requiere una contraseña de línea de comando específica para descifrar su configuración interna y continuar con su rutina de ransomware., dijo Trend Micro en un informe.

Esta técnica ha sido utilizada por los operadores de Egregor para ocultar actividades maliciosas del análisis de proveedores. A primera vista, El expediente de White Rabbit no llama la atención, con su pequeño tamaño de aproximadamente 100 KB y sin cadenas o actividad notables. Lo que delata su carácter malicioso es la presencia de cadenas de registro. Sin embargo, el comportamiento esencial del ransomware no es fácil de observar sin la contraseña correcta.

La telemetría interna de Trend Micro reveló rastros de Cobalt Strike malware comandos que podrían haberse utilizado para infiltrarse en el sistema y eliminar la carga útil de cifrado. También hay evidencia de que la URL maliciosa conectada al ataque White Rabbit está relacionada con FIN8, un conocido jugador de APT.

Los investigadores de Lodestone también notaron que el ransomware está usando una puerta trasera previamente desconocida llamada Badhatch, también asociado con FIN8. Sin embargo, los investigadores no pudieron obtener archivos relacionados con esa URL para realizar un análisis.

En cuanto a su rutina, White Rabbit actúa como un ransomware típico. También realiza una doble extorsión al amenazar a sus objetivos con vender o publicar sus datos robados.

¿Qué pasa con el cifrado de White Rabbit Ransomware?

Por cada archivo encriptado, el ransomware crea una nota separada. Cada nota tiene el nombre del archivo encriptado, y se adjunta con la siguiente extensión –.scrypt.txt.

“Antes de la rutina del ransomware, el malware también finaliza varios procesos y servicios, particularmente los relacionados con antivirus, señaló Trend Micro.

En conclusión, los investigadores creen que el ransomware todavía está en desarrollo. “A pesar de estar en esta etapa temprana, sin embargo, es importante destacar que tiene las características problemáticas del ransomware moderno: Es, después de todo, muy específico y utiliza métodos de doble extorsión. Tal como, vale la pena monitorear," según el informe de Trend Micro.

 

Fuente: Sensorstechforum

Tags: 
#UTPLCuidaTuInformación #CiberSeguridadUTPL #UTPL #Loja #Ecuador

Añadir nuevo comentario

Más información sobre los formatos de texto

Filtered HTML

  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Etiquetas HTML permitidas: <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd>
  • Saltos automáticos de líneas y de párrafos.

Plain text

  • No se permiten etiquetas HTML.
  • Las direcciones de las páginas web y las de correo se convierten en enlaces automáticamente.
  • Saltos automáticos de líneas y de párrafos.
Copyright 2023. Universidad Técnica Particular de Loja
Políticas de Privacidad | Términos y condiciones