RansomHouse es un grupo de amenazas pertenecientes a la familia Babuk que ha estado activo en el panorama del ransomware desde al menos 2021. Este grupo se ha destacado por llevar a cabo campañas de cifrado dirigidas a instancias de Linux y máquinas virtuales VMware ESXi, utilizando variantes de ransomware como Mario Locker o WhiteRabbit, siendo este último el más presente.
La primera vez que se detectó el ransomware “White Rabbit”, según informó Threatpost, fue utilizado en un ataque contra un banco local no identificado en Estados Unidos. Se anunció que un equipo de investigadores forenses respondió a un cliente cuyo entorno se vio afectado por White Rabbit el 14 de diciembre de 2021.
En cuanto a la propagación de “White Rabbit”, al igual que otros malwares, se introduce en los sistemas a través de correos electrónicos de phishing. En estos correos, se adjunta un archivo que, al ser abierto por el usuario, inicia la propagación del ransomware en el sistema.
Según Trend Micro, la detección de White Rabbit puede ser difícil debido al tamaño del archivo, que es de alrededor de 100 KB. Sin embargo, se puede identificar su presencia en cadenas de registro.
El comportamiento de este ramsomeware es difícil de observar, pero se puede monitorear a través de alertas de comando y control. Una vez que se ejecuta, White Rabbit escanea todas las carpetas del dispositivo y cifra archivos específicos. Además, crea un mensaje de rescate para cada archivo cifrado. A continuación, se muestra un ejemplo del mensaje de rescate.
Las víctimas son amenazadas con la publicación o venta de datos confidenciales si no cumplen con las demandas de los ciberdelincuentes dentro de los cuatro días. La eliminación de la clave de desencriptado se anuncia como consecuencia inevitable si no se realiza el pago.
