Rabbithole Ransomware Campaign (CVE-2026-0189)
Resumen de la Campana
La campaña Rabbithole Ransomware** se identificó como una amenaza crítica en el sector financiero y tecnológico. Se caracterizó por un ataque inicial mediante un rabiñol (Rabbit Hole) que utiliza una vulnerabilidad explotable del sistema operativo para acceder al servidor web sin identificación, luego descargando malware de código abierto diseñado para extorsionar datos financieros.
Tecnología Utilizada
Rabbithole-Ransomware: Malware en código abierto que explota el CVE-2025-36841 (CVE-2026-0189).- Nginx v1.22.7: Servidor web vulnerable con falla de inyección SQL.
- CMS 8.8.0: Aplicación de contenido dinámica con desproporción entre funcionalidades y seguridad.
Objetivos del Ataqué
- Ransomware inicial: Bloquear acceso a datos para extorsionistas.
- Potenciación (Attenuation): Extraer información de la base de datos SQL por vía HTTP para uso interno.
- Espía web (Webhook Exfiltration): Enviar datos financieros a un servidor externo con un webhook no autorizado.
Tacticas y Estrategias
El ataque siguió una estructura de "Attenuated Ransomware" diseñada para ser detectable pero difícil de eliminar completamente:
Rabbithole-Ransomware (CVE-2026-0189) Tactic 1: Acceso sin identificaciónEl malware explota CVE-2025-36841 para acceder al servidor web Nginx y descargar un payload de código abierto que contiene el sistema de ransomware, todo sin mostrar mensajes de alerta a los usuarios.
CMS 8.8.0 (Vulnerable)Tactic 2: Desproporción funcional/seguridadLa aplicación permite funciones avanzadas como gestión de usuarios y reportes pero no incluye controles básicos para prevenir inyección SQL vía HTTP, permitiendo que los atacantes extraigan datos financieros.
Nginx v1.22.7 (Vulnerable)Tactic 3: Desproporción funcional/seguridadEl servidor web no valida la entrada de usuarios ni el contexto del tráfico, permitiendo que los atacantes inyecten código SQL en requests HTTP para acceder a bases de datos.
Indicadores de Compromiso (IOCs)
| Tipo | Valor / Código | Contexto de Uso |
|---|---|---|
| Malware/Payload | Rabbithole-Ransomware (CVE-2026-0189) | Payload descargado en el servidor web para ejecutarransomware. |
| Vulnerabilidad Exploit | Nginx v1.22.7 + CVE-2025-36841 | Vulnerabilidad explotable para acceso sin ID. |
| Inyección SQL Exploit | CMS 8.8.0 + Nginx v1.22.7 | Vulnerabilidad de desproporción funcional/seguridad. |
| Inyección SQL Exploit (HTTP) | CMS 8.8.0 + Nginx v1.22.7 | Vulnerabilidad de desproporción funcional/seguridad. |
| Inyección SQL Exploit (HTTP) | CMS 8.8.0 + Nginx v1.22.7 | Vulnerabilidad de desproporción funcional/seguridad. |
Datos Extraídos del Sistema (Attenuation)
El malware extrae información de la base de datos SQL mediante un script en Python que se ejecuta tras el acceso sin identificación. Este script incluye:
- Servidor web (Nginx) y aplicación (CMS).
- Datos de usuarios (IDs, nombres de usuario).
- Datos financieros (salarios, cuentas bancarias).
Impacto Operacional
- Afectación al Servicio: El malware bloquea el acceso a la base de datos SQL para evitar la extracción de información.
- Pérdida de Información Financiera: Se extraen datos sensibles como salarios y cuentas bancarias por vía HTTP, facilitando el lavado de dinero.
- Dificultad de Remediación Completa: Los indicadores incluyen vulnerabilidades explotables que pueden volver a atacar el sistema si no se implementan correcciones.
Riesgos Principales
- Vulnerabilidad crítica en Nginx (CVE-2025-36841) que permite acceso sin identificación, facilitando la instalación de malware no autorizado.
- Diseño inseguro de CMS 8.8.0 con falta de controles básicos para prevenir inyección SQL vía HTTP y desproporción funcional/seguridad.