Uma nova operação de ransomware-as-a-service (RaaS) está se passando pela legítima organização Cicada 3301 e já listou 19 vítimas em seu portal de extorsão, enquanto atacava rapidamente empresas em todo o mundo.
A nova operação de cibercrime é nomeada após e usa o mesmo logo do jogo online/real de 2012-2014 chamado Cicada 3301, que envolvia elaborados enigmas criptográficos.
Contudo, não há conexão entre os dois, e o projeto legítimo emitiu um comunicado para renunciar qualquer associação com os atores de ameaça e condenou as ações da operação de ransomware.
"Não conhecemos a identidade dos criminosos por trás desses crimes hediondos e não estamos associados a esses grupos de forma alguma", diz o comunicado da organização Cicada 3301.
O Cicada3301 RaaS começou a promover a operação e a recrutar afiliados em 29 de junho de 2024, em uma postagem de fórum no fórum de ransomware e cibercrime conhecido como RAMP.
Como outras operações de ransomware, o Cicada3301 conduz táticas de dupla extorsão onde eles invadem redes corporativas, roubam dados e então criptografam dispositivos.
A chave de criptografia e ameaças de vazar dados roubados são então usadas como alavanca para assustar vítimas a pagar um resgate.
Os atores de ameaça operam um site de vazamento de dados que é usado como parte de seu esquema de dupla extorsão.
Uma análise do novo malware pela Truesec revelou sobreposições significativas entre o Cicada3301 e o ALPHV/BlackCat, indicando um possível rebranding ou uma bifurcação criada por membros antigos da equipe principal do ALPHV.
Isso se baseia no fato de que:
Ambos são escritos em Rust.
Ambos usam o algoritmo ChaCha20 para criptografia.
Ambos empregam comandos idênticos de desligamento de VM e apagamento de snapshots.
Ambos usam os mesmos parâmetros de comando de interface do usuário, a mesma convenção de nomenclatura de arquivos e o mesmo método de decifração da nota de resgate.
Ambos usam criptografia intermitente em arquivos maiores.
Para contexto, o ALPHV realizou um exit scam no início de março de 2024 envolvendo falsas alegações sobre uma operação de desmonte do FBI depois que eles roubaram um pagamento maciço de $22 milhões da Change Healthcare de um de seus afiliados.
A Truesec também encontrou indicações de que a operação de ransomware Cicada3301 pode se associar ou utilizar a botnet Brutus para acesso inicial às redes corporativas.
Essa botnet foi previamente associada com atividades de força bruta em VPN em escala global, visando aparelhos da Cisco, Fortinet, Palo Alto e SonicWall.
Vale ressaltar que a atividade do Brutus foi vista pela primeira vez duas semanas após o ALPHV encerrar operações, então a ligação entre os dois grupos ainda se mantém em termos de cronogramas.
O Cicada3301 é uma operação de ransomware baseada em Rust com criptografadores tanto para Windows quanto para Linux/VMware ESXi.
Como parte do relatório da Truesec, os pesquisadores analisaram o criptografador Linux VMWare ESXi para a operação de ransomware.
Como o BlackCat e outras famílias de ransomware, como o RansomHub, uma chave especial deve ser inserida como um argumento de linha de comando para iniciar o criptografador.
Esta chave é usada para decifrar um bloco JSON criptografado que contém a configuração que o criptografador usará ao criptografar um dispositivo.
A Truesec diz que o criptografador verifica a validade da chave ao usá-la para decifrar a nota de resgate e, se bem-sucedido, continua com o resto da operação de criptografia.
Sua função principal (linux_enc) usa o cipher de fluxo ChaCha20 para criptografia de arquivos e então criptografa a chave simétrica usada no processo com uma chave RSA.
As chaves de criptografia são geradas aleatoriamente usando a função 'OsRng'.
O Cicada3301 visa extensões de arquivo específicas correspondendo a documentos e arquivos de mídia e verifica o tamanho deles para determinar onde aplicar criptografia intermitente (>100MB) e onde criptografar todo o conteúdo do arquivo (<100MB).
Ao criptografar arquivos, o criptografador adicionará uma extensão aleatória de sete caracteres ao nome do arquivo e criará notas de resgate nomeadas 'RECOVER-[extensão]-DATA.txt', como mostrado abaixo.
Vale notar que os criptografadores BlackCat/ALPHV também usaram extensões aleatórias de sete caracteres e uma nota de resgate nomeada 'RECOVER-[extensão]-FILES.txt'.
Os operadores do ransomware podem definir um parâmetro de sleep para atrasar a execução do criptografador, potencialmente para evadir detecção imediata.
Um parâmetro "no_vm_ss" também ordena que o malware criptografe máquinas virtuais VMware ESXi sem tentar desligá-las primeiro.
No entanto, por padrão, o Cicada3301 primeiro usa os comandos 'esxcli' e 'vim-cmd' do ESXi para desligar máquinas virtuais e deletar seus snapshots antes de criptografar dados.
As atividades e taxa de sucesso do Cicada3301 indicam um ator experiente que sabe o que está fazendo, apoiando ainda mais a hipótese de um reboot do ALPHV ou pelo menos utilizando afiliados com experiência prévia em ransomware.
O foco do novo ransomware em ambientes ESXi destaca seu design estratégico para maximizar o dano em ambientes corporativos que muitos atores de ameaça agora visam para lucros lucrativos.
Combinando criptografia de arquivos com a capacidade de interromper operações de VM e remover opções de recuperação, o Cicada3301 garante um ataque de alto impacto que afeta redes inteiras e infraestruturas, maximizando a pressão colocada sobre as vítimas.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...