Escrito por; Juan Carlos Diaz – Cyber Security Engineer

De white rabbit and data hijacking a “Mario”

El pasado lunes, 28 de noviembre, Sanitas, Colsanitas y Medisanitas en Colombia confirmaron que fueron víctimas de un hackeó, en las ultimas horas el portal bleepingcomputer com dio a conocer que fue por un tipo de ransomware llamado Mario, así como el famosos videojuego, el cual cifra la información añadiendo la extensión Mario una vez que ingresa en los sistemas el malware se activa, provoca el bloqueo de todo el sistema operativo y lanza el mensaje de advertencia con la amenaza y el precio del “rescate”

Este ataque ha sido atribuido a RansomHouse quienes le cambiaron el nombre de este ransomware de White Rabbit a Mario, estos ciber atacantes utilizan un doble método de extorsión a las compañías, donde publican la información de las víctimas, si no les pagan el rescate a los ciber atacantes, sus datos son vendidos en la Darkweb, si nadie está interesado en comprar el conjunto de datos robados se publica en el sitio de Tor, esto como método de presión a las compañías vulneradas Al parecer el ingreso de este Ransomware fue por Servidores ubicados en ESXi.

Impacto

White Rabbit prolifera a través de campañas de phishing y sobre todo de spam, los correos electrónicos enviados a través de estas operaciones pueden contener archivos infectados como archivos adjuntos o enlaces de descarga, se ha visto que se utilizan los siguientes formatos, ejecutables, archivos, documentos de Microsoft Office y PDF, JavaScript y otros, una vez que se abre un archivo malicioso, comienza a instalarse el malware este ransomware cifra los dispositivos Windows y Linux y agregará la extensión Mario’ a los archivos cifrados mientras suelta notas de rescate llamadas ‘Cómo restaurar sus archivos txt’

Por el momento aun no se conocen indicadores de compromiso, se cuenta con el uno publicado por TrendMicro en enero de este año respecto al Ransomware “White Rabbit”

SHA256: b0844458aaa2eaf3e0d70a5ce41fc2540b7e46bdc402c798dbdfe12b59ab32c3

Ransom.Win32.WHITERABBIT.YACAET

ETEK da las siguientes recomendaciones que aplican a nivel general Empiece por asumir que la organización se verá afectada (Ransomware no distingue de tamaño, sector o geografía), Las maquinas debe estar actualizadas con los parches de seguridad de Windows en especial el MS 17 010 No tener habilitados protocolos como el SBMv 1 y bloquear conexiones entrantes a puertos SMB 139 445 u otros puestos que no sean necesarios, Realizar backups de la información en ambientes separados a la red corporativa ,No permitir que los usuarios finales tengan privilegios de administrador en las estaciones finales, Contar con Software antimalware de última generación, controles de navegación, Controles a los buzones de correo electrónico, entre otras herramientas que ayuden a la detección y bloqueo de movimientos sospechosos aun cuando los usuarios finales hayan abierto alguna brecha de seguridad, Autenticaciones Múltiples para los servicios de la organización, Campañas de concientización a los usuarios finales sobre la importancia de no abrir links en páginas de dudosa reputación, correos electrónicos sin conocer el remitente y si se conoce el remitente validar que el contenido del mail sea coherente ( Segmentación de redes y filtrado de tráfico para evitar la propagación del ransomware en caso de una infección.

Fuentes

• https:://www cisa gov/stopransomware/ransomware guide

• https:://www bleepingcomputer com/news/security/new white rabbit ransomware linked to fin 8 hacking group/

• https:://www bleepingcomputer com/news/security/keralty ransomware attack impacts colombias health care system/