Pesquisadores associam o malware a um ator de ameaças com vínculos ao Irã.
A ferramenta foi escrita em Go e projetada para se misturar ao tráfego normal de redes corporativas, dificultando a detecção por equipes de segurança.
O BLUERABBIT se destaca por reunir funções típicas de ransomware e wiper.
Ele pode criptografar arquivos, roubar informações antes do bloqueio e, quando acionado pelos operadores, destruir unidades inteiras do sistema comprometido.
Para manter persistência, o malware cria uma tarefa agendada chamada “OneDrive Update”, tentando se passar por um serviço legítimo da Microsoft.
A tarefa é reiniciada a cada 60 segundos e continua ativa mesmo após reinicializações do Windows.
A comunicação com os operadores ocorre por meio do RabbitMQ, sistema de mensagens usado em ambientes corporativos.
Quando usado para destruição, o BLUERABBIT altera arquivos críticos de inicialização e configurações do Windows para impedir recuperação automática.
Em seguida, pode sobrescrever discos, tornando a restauração dos dados inviável sem backups externos confiáveis.
