- Malware chamado BLUERABBIT, ligado a um ator de ameaças com vínculos ao Irã, foi identificado.
- Foi escrito em Go e se mistura ao tráfego de redes corporativas para dificultar a detecção.
- O conjunto reúne funções de ransomware e wiper: pode criptografar arquivos, roubar dados antes do bloqueio e, quando acionado, destruir unidades inteiras.
- A persistência é mantida por uma tarefa agendada chamada “OneDrive Update”, reiniciada a cada 60 segundos e que resiste a reinicializações.
- A comunicação com operadores usa o RabbitMQ; em ataques destrutivos, o malware altera arquivos de inicialização e configurações do Windows, podendo sobrescrever discos.
Malware ligado ao Irã usa BLUERABBIT para criptografar arquivos, segundo pesquisadores. A ferramenta foi escrita em Go e foi projetada para se misturar ao tráfego normal de redes corporativas, dificultando a detecção pelas equipes de segurança. O objetivo é criptografar dados e, em caso de acionamento, causar destruição em sistemas comprometidos.
O BLUERABBIT reúne funções típicas de ransomware e de wiper, permitindo criptografar arquivos, roubar informações antes da liberação do bloqueio e, quando acionado, destruir unidades inteiras do sistema. O conjunto de recursos reforça o potencial de dano em ambientes empresariais.
Para manter persistência, o malware cria uma tarefa agendada chamada OneDrive Update, tentando se passar por um serviço legítimo da Microsoft. A tarefa é reiniciada a cada 60 segundos e permanece ativa mesmo após reinicializações do Windows.
Comunicação e modo de operação
A interface com os operadores ocorre por meio do RabbitMQ, sistema de mensagens utilizado em redes corporativas. Quando empregado para destruição, o BLUERABBIT altera arquivos críticos de inicialização e configurações do Windows, dificultando a recuperação automática. Em seguida, pode sobrescrever discos, tornando a restauração inviável sem backups externos confiáveis.
Entre na conversa da comunidade