Los expertos en ciberseguridad han revelado cómo funciona una nueva variante de ransomware llamada Cicada3301, que muestra similitudes con la operación BlackCat, que ya no está activa.
Según un informe técnico de la empresa de ciberseguridad Morphisec compartido con The Hacker News, el ransomware Cicada3301 parece estar dirigido principalmente a pequeñas y medianas empresas (PYMES), probablemente mediante ataques oportunistas que explotan vulnerabilidades para obtener acceso inicial.
Cicada3301, desarrollado en Rust y capaz de atacar sistemas Windows y Linux/ESXi, apareció por primera vez en junio de 2024. La plataforma de ransomware como servicio (RaaS) fue promovida a través de un anuncio en el foro underground RAMP, invitando a posibles afiliados a unirse.
Una característica destacada de este ransomware es que el ejecutable incluye las credenciales del usuario comprometido, que se utilizan para ejecutar PsExec, una herramienta legítima para la ejecución remota de programas.
Las similitudes entre Cicada3301 y BlackCat también incluyen el uso de ChaCha20 para cifrar datos, fsutil para evaluar enlaces simbólicos y cifrar archivos redirigidos, y IISReset.exe para detener servicios de IIS y cifrar archivos que podrían quedar bloqueados para su modificación o eliminación.
Otras coincidencias con BlackCat abarcan la eliminación de copias de sombra, la desactivación de la recuperación del sistema mediante bcdedit, el aumento del valor MaxMpxCt para manejar mayores volúmenes de tráfico (como solicitudes SMB PsExec) y la eliminación de registros de eventos con wevtutil.
Cicada3301 también detiene máquinas virtuales locales, una táctica anteriormente empleada por los ransomware Megazord y Yanluowang, y finaliza varios servicios de respaldo y recuperación, además de mantener una lista codificada de docenas de procesos.
El ransomware apunta a 35 extensiones de archivo, incluyendo sql, doc, rtf, xls, jpg, jpeg, psd, entre otras. Morphisec también descubrió herramientas adicionales como EDRSandBlast, que utiliza un controlador firmado vulnerable para eludir las detecciones de EDR, una técnica también empleada por el grupo BlackByte anteriormente.
El análisis de Truesec de la versión ESXi de Cicada3301 sugiere que el grupo podría haberse asociado con los operadores de la botnet Brutus para obtener acceso inicial a redes empresariales. La línea de tiempo indica que la desaparición de BlackCat, el surgimiento de Brutus y la operación de Cicada3301 podrían estar conectados.
Los ataques a sistemas VMware ESXi también implican el uso de cifrado intermitente para archivos mayores a un umbral de 100 MB y un parámetro llamado “no_vm_ss” para cifrar archivos sin apagar las máquinas virtuales en el host.
Además, la aparición de Cicada3301 ha llevado a un “movimiento apolítico” homónimo, que se dedica a acertijos criptográficos “misteriosos”, a emitir una declaración afirmando que no tiene relación con el esquema de ransomware.
Fuente: thehackernews.com