El ransomware continúa evolucionando como amenaza cibernética y cada cierto tiempo surge una nueva cepa. Una de las más modernas y que más quebraderos de cabeza está dando a las empresas es White Rabbit.
Quién haya visto la película Los Caballeros de la Tabla Cuadrada, de los Monty Python, sabrá que los conejos blancos que pueden parecer muy inofensivos no siempre lo son tanto. Esto es lo que ocurre con esta cepa que fue descubierta semanas atrás por un investigador de seguridad en Twitter.
Hace cosa de un mes TrendMicro le dedicaba un post a esta nueva amenaza. La firma de seguridad explicaba que uno de sus aspectos más destacados era que su binario de carga útil requería una contraseña online de comandos específica para descifrar su configuración interna y continuar con su rutina de ransomware.
El ransomware apuntaría a unidades extraíbles, unidades de red y discos duros locales que se encriptarían, como decimos, eludiendo cuidadosamente las carpetas del sistema de Windows para evitar que el sistema operativo pueda volverse inutilizable.
Este método para ocultar su actividad maliciosa era un truco que ya se había visto con la familia de ransomware Egregor con el fin de evadir las técnicas de análisis de malware.
Al esconderse en un ligero archivo de solo 100 Kb sin cadenas notables y sin aparente actividad, la carga útil de White Rabbit suele pasar desapercibida. Su comportamiento real no es fácilmente observable sin la correcta contraseña.
Quién lleva la chistera donde se mete el conejo
Los investigadores de Lodestone vinculan algún ataque del 'conejo blanco' con el grupo de amenazas persistentes FIN8. Lo relacionan en parte porque se ha encontrado el uso de White Rabbit en una versión nunca antes vista de Badhatch, una puerta trasera también asociada a FIN8.
En cuanto a las víctimas este ransomware se comporta de manera muy similar a otros, llevando a cabo una doble extorsión y amenazando a sus objetivos con vender o publicar los datos robados si no se realiza el pago de un rescate.
White Rabbit cifra cada archivo y genera una nota para cada uno de ellos. Además, también concluye varos procesos y servicios, como el del antivirus.
Los investigadores creen que el ransomware White Rabiit es un grupo de amenazas prometedor que pronto podría convertirse en una amenaza masiva.