Pesquisadores de cibersegurança obtiveram informações adicionais sobre um emergente ransomware-como-serviço (RaaS) chamado Cicada3301, após conseguirem acesso ao painel de afiliados do grupo na dark web.
A Group-IB, com sede em Singapura, informou que entrou em contato com o ator de ameaças por trás da persona Cicada3301 no fórum de cibercrimes RAMP através do serviço de mensagens Tox, após este ter publicado um anúncio, procurando novos parceiros para o seu programa de afiliados.
"Dentro do painel de afiliados do grupo de ransomware Cicada3301 continha seções como Dashboard, Notícias, Empresas, Chat com Empresas, Suporte por Chat, Conta, uma seção de FAQ e Sair," disseram os pesquisadores Nikolay Kichatov e Sharmine Low em uma nova análise publicada hoje.
O Cicada3301 veio à tona pela primeira vez em junho de 2024, com a comunidade de cibersegurança descobrindo fortes semelhanças no código fonte com o agora extinto grupo de ransomware BlackCat.
Estima-se que o esquema RaaS tenha comprometido não menos que 30 organizações em setores críticos, a maioria localizada nos EUA e no Reino Unido.
O ransomware baseado em Rust é multiplataforma, permitindo que afiliados ataquem dispositivos rodando Windows, distribuições Linux Ubuntu, Debian, CentOS, Rocky Linux, Scientific Linux, SUSE, Fedora, ESXi, NAS, PowerPC, PowerPC64 e PowerPC64LE.
Como outras cepas de ransomware, ataques envolvendo o Cicada3301 têm a capacidade de criptografar arquivos integralmente ou parcialmente, mas não antes de desligar máquinas virtuais, inibir a recuperação do sistema, terminar processos e serviços e deletar cópias de sombra.
Também é capaz de criptografar compartilhamentos de rede para maximizar o impacto.
"O Cicada3301 executa um programa de afiliados recrutando testadores de penetração (pentesters) e corretores de acesso, oferecendo uma comissão de 20% e fornecendo um painel baseado na web com recursos extensivos para afiliados," observaram os pesquisadores.
Um resumo das diferentes seções do painel de afiliados é o seguinte:
Dashboard - Uma visão geral dos logins bem-sucedidos ou falhos pelo afiliado, e o número de empresas atacadas
Notícias - Informações sobre atualizações de produtos e notícias do programa de ransomware Cicada3301
Empresas - Fornece opções para adicionar vítimas (ou seja, nome da empresa, quantidade de resgate demandada, data de expiração do desconto etc.) e criar builds do ransomware Cicada3301
Chat com Empresas - Uma interface para comunicar e negociar com as vítimas
Suporte por Chat - Uma interface para os afiliados se comunicarem com representantes do grupo de ransomware Cicada3301 para resolver problemas
Conta - Uma seção dedicada ao gerenciamento da conta do afiliado e à redefinição de sua senha
FAQ - Fornece detalhes sobre regras e guias para criar vítimas na seção "Empresas", configurar o construtor e etapas para executar o ransomware em diferentes sistemas operacionais
"O grupo de ransomware Cicada3301 rapidamente se estabeleceu como uma ameaça significativa na paisagem do ransomware, devido a suas operações sofisticadas e ferramentas avançadas," disseram os pesquisadores.
Ao aproveitar a criptografia ChaCha20 + RSA e oferecer um painel de afiliados personalizável, o Cicada3301 permite que seus afiliados executem ataques altamente direcionados.
Sua abordagem de exfiltrar dados antes da criptografia adiciona uma camada extra de pressão sobre as vítimas, enquanto a capacidade de parar máquinas virtuais aumenta o impacto de seus ataques.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...