Nuevo ransomware White Rabbit posiblemente ejecutado por FIN8 APT

Los investigadores de seguridad han detectado una nueva variante de ransomware que pertenece a su propia familia. El ransomware se ha llamado White Rabbit y se cree que tiene conexiones con el actor de amenazas persistente avanzado conocido como APT8.

APT8 es el designador dado a una APT con motivación financiera que se detectó por primera vez en 2018 y lanzó ataques contra organizaciones en las industrias minorista y hotelera.

Según el informe de Trend Mirco sobre el ransomware White Rabbit, la nueva cepa comparte algunas similitudes con el antiguo ransomware Egregor cuando se trata de cubrir sus huellas y pasar desapercibido.

Primeras detecciones y examen

Las primeras detecciones de actividad de White Rabbit se remontan a mediados de diciembre de 2021. El mismo día en que la empresa de seguridad Lodestone publicó un artículo sobre White Rabbit, el investigador de seguridad independiente Michael Gillespie también publicó una publicación sobre White Rabbit en su cuenta de Twitter. La publicación de Gillespie también incluía la nota del ransomware, junto con cada archivo cifrado, junto con el conejo en miniatura con arte ASCII incluido en el archivo de texto de la nota de rescate.

La nota de rescate hace un esfuerzo por asustar a la víctima en el escenario clásico de doble extorsión. White Rabbit afirma que los datos de la víctima no solo se cifraron, sino que también se exfiltraron y se filtrarán si no se paga el rescate.

Trend Micro también detectó que la instancia de White Rabbit que analizaron usaba la contraseña "KissMe" para descifrar la configuración interna de la carga útil y ejecutar el ransomware real. Las muestras del ransomware Egregor que los investigadores analizaron hace años utilizaron un método muy similar.

Aunque los investigadores no están completamente seguros de que White Rabbit sea operado por FIN8 APT, hay una serie de técnicas y métodos similares de reconocimiento e infiltración compartidos entre White Rabbit y ataques anteriores de FIN8.

Métodos de cifrado

Cuando White Rabbit encripta archivos, agrega la extensión .scrypt a cada archivo codificado, luego suelta una segunda instancia con la extensión .scrypt.txt para cada archivo encriptado. El ransomware evita los directorios importantes del sistema para permitir que el sistema de destino funcione normalmente. Las carpetas que White Rabbit no toca incluyen la carpeta de Windows y ambas carpetas de Archivos de programa. Los archivos que potencialmente pertenecen a los controladores del sistema tampoco están encriptados.

En Zaib
January 19, 2022
Computer Security
Spanish
January 19, 2022
Computer Security

Entradas populares

Microsoft advierte que los actores de amenazas respaldados por...

Hace 4 days

Troyano Al11 Detección de malware

Hace 11 months

Pinaview es una aplicación de adware con todas las funciones

Hace 10 months

Ventanas emergentes "Tu iCloud está siendo pirateado" y "Tu...

Hace 7 months

¿Qué es Lucky Ransomware?

Hace 7 months

Estafa por correo electrónico 'American Express - Actualice la...

Hace 6 months
Spanish
Cargando...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.