Cicada 3301 nuevo grupo de ransomware
La banda que presenta similitudes con la extinta BlackCat está preparada para atacar sistemas Windows y ESXi de VMware
A pesar de compartir nombre con una organización legítima esta banda no tiene relación alguna con ella, más allá de haber copiado su nombre.
Investigadores de Truesec destacan las similitudes de la novedosa operación con la llevada a cabo por ALPHV/BlackCat, que realizó un exit scam en marzo de este mismo año. Estos puntos de coincidencia son:
- Malware escrito en el lenguaje Rust.
- Uso del algoritmo de cifrado ChaCha20.
- Comandos idénticos para apagado de máquinas virtuales y borrados de snapshots.
- Uso del parámetro -ui para salida gráfica en el proceso de cifrado.
- Misma convención para la nomenclatura de archivos.
- Uso de la clave para descifrar la nota de rescate.
Todos estos factores llevan a pensar que la banda está compuesta por antiguos afiliados de BlackCat, que sus desarrolladores son los mismos o que han utilizado partes de su código para crear esta nueva operativa.
Además de su aparente relación con la extinta operación de ransomware, en ataques llevados a cabo por Cicada 3301 se han utilizado direcciones IP que forman parte de la infraestructura de la botnet Brutus.
Como es común en muchas otras operaciones el grupo realiza una doble extorsión, pidiendo un rescate por el descifrado de los sistemas afectados y amenazando con vender o publicar los datos exfiltrados, para lo que cuenta con un portal en la Dark Web.
El ransomware utilizado está preparado para cifrar tantos sistemas basados en Windows como aquellos virtualizados basados en el sistema ESXi de VMware.
Para comenzar el proceso de cifrado el malware requiere la introducción de una clave que es utilizada en primer lugar para descifrar la nota de rescate. El proceso no continúa hasta que este paso se realiza de forma satisfactoria.
De este modo Cicada 3301 se asegura de que el ransomware que ofrece como servicio es solo operado por afiliados de la banda y no por terceros que hayan podido hacerse con alguna muestra del mismo.
A pesar de que hasta el 29 de junio no se detectaron las primeras publicaciones en el foro RAMP destinadas a captar ciberdelincuentes interesados en colaborar con la banda, se tiene conocimiento de ataques llevados a cabo por el grupo desde al menos el 6 de junio.
El número de víctimas que Cicada 3301 ha cosechado en el poco tiempo que lleva operando es indicativo de que sus creadores cuentan con experiencia previa, y de que la amenaza que presenta se deberá tener en cuenta en los próximos meses.
Fuentes y más información:
