El grupo de hackers FIN8 utiliza el nuevo malware White Rabbit
Expertos en Trend Micro estudió una muestra del nuevo malware White Rabbit obtenido durante una investigación de un ataque a un banco estadounidense en diciembre 2021. Aparentemente, este malware puede ser parte de una operación paralela del grupo de hackers FIN8.
FIN8 ha estado activo desde al menos enero 2016 y es conocido por atacar al comercio minorista, restaurantes, hospitalidad, y atención médica para robar datos de tarjetas de pago de los sistemas POS. A través de los años, los investigadores han observado una variedad de herramientas y tácticas en el arsenal de FIN8, que van desde varios programas maliciosos de POS, incluso BadHatch, PoSlurp (Punch Track), PowerSniff (ponchebuggy, ConchaTé), para vulnerabilidades de día cero y suplantación de identidad dirigida.
El archivo ejecutable del nuevo malware es un pequeño 100 carga útil kb. Requiere que se ingrese una contraseña para descifrar la carga útil maliciosa. Es de destacar que la misma contraseña se utilizó anteriormente en el trabajo de otro ransomware, incluso egregor, megacórtex y Sam Sam.
Una vez iniciado con la contraseña correcta, el ransomware analiza todas las carpetas del dispositivo y cifra los archivos de destino, creando una nota de rescate para cada archivo encriptado. La nota informa a la víctima que sus archivos fueron robados y encriptados, y los atacantes amenazan con publicar o vender los datos robados si no se cumplen sus demandas.
La evidencia del robo de archivos se carga en servicios como pegar[.]com y archivo[.]I, y se alienta a las víctimas a contactar a los piratas informáticos a través de un sitio especial en la web oscura.
Los expertos señalan que la evidencia de una conexión entre FIN8 y conejo blanco se descubre incluso en la etapa de implementación del ransomware. Asi que, el malware utiliza una versión nueva y previamente desconocida de la puerta trasera Badhatch (también conocido como Sardónico) asociado con FIN8.
Aunque los ataques de White Rabbit solo recientemente han llamado la atención de los expertos y han logrado afectar solo a unas pocas organizaciones., parece que la actividad de los piratas informáticos comenzó en julio 2021.
También te puede interesar saber qué Malware de Linux, CronRAT, se esconde en un trabajo cron con fechas incorrectas, y qué Nuevo MasterFred objetivos de malware Netflix, Instagram y Gorjeo usuarios.