Ciberseguridad 360 | Nuevo ransomware Cicada3301 basado en Rust impacta sistemas Windows y Linux

Investigadores de ciberseguridad han desentra�ado el funcionamiento interno de una nueva variante de ransomware llamada Cicada3301 que comparte similitudes con la ya desaparecida operaci�n BlackCat (tambi�n conocida como ALPHV).

�Parece que el ransomware Cicada3301 se dirige principalmente a peque�as y medianas empresas (PYMES), probablemente a trav�s de ataques oportunistas que aprovechan vulnerabilidades como vector de acceso inicial�, afirma la empresa de ciberseguridad Morphisec en un informe t�cnico.

Escrito en Rust y capaz de atacar tanto hosts Windows como Linux/ESXi, Cicada3301 apareci� por primera vez en junio de 2024, invitando a potenciales afiliados a unirse a su plataforma de ransomware como servicio (RaaS) a trav�s de un anuncio en el foro clandestino RAMP.

Un aspecto notable del ransomware es que el ejecutable incrusta las credenciales del usuario comprometido, que luego se utilizan para ejecutar PsExec, una herramienta leg�tima que permite ejecutar programas de forma remota.

Las similitudes de Cicada3301 con BlackCat tambi�n se extienden a su uso de ChaCha20 para el cifrado, fsutil para evaluar enlaces simb�licos y cifrar archivos redirigidos, as� como IISReset.exe para detener los servicios IIS y cifrar archivos que, de otro modo, podr�an estar bloqueados para su modificaci�n o eliminaci�n.

Otras coincidencias con BlackCat incluyen los pasos realizados para eliminar las instant�neas, desactivar la recuperaci�n del sistema mediante la manipulaci�n de la utilidad bcdedit, aumentar el valor MaxMpxCt para soportar mayores vol�menes de tr�fico (por ejemplo, SMB PsExec peticiones), y borrar todos los registros de eventos mediante la utilizaci�n de la utilidad wevtutil.

Tambi�n se ha observado que Cicada3301 detiene las m�quinas virtuales (VM) desplegadas localmente, un comportamiento adoptado anteriormente por el ransomware Megazord y el ransomware Yanluowang, y termina varios servicios de copia de seguridad y recuperaci�n y una lista codificada de docenas de procesos.

Adem�s de mantener una lista integrada de archivos y directorios excluidos durante el proceso de cifrado, el ransomware se dirige a un total de 35 extensiones de archivo: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm y txt.

Morphisec afirma que su investigaci�n tambi�n ha descubierto otras herramientas, como EDRSyBlast, que utilizan como arma un controlador firmado vulnerable para eludir las detecciones de EDR, una t�cnica tambi�n adoptada por el grupo de ransomware BlackByte en el pasado.

Los hallazgos siguen al an�lisis de Truesec de la versi�n ESXi de Cicada3301, al tiempo que descubren indicios de que el grupo podr�a haberse asociado con los operadores de la botnet Brutus para obtener el acceso inicial a las redes empresariales.

�Independientemente de si Cicada3301 es una nueva marca de ALPHV, tienen un ransomware escrito por el mismo desarrollador que ALPHV, o simplemente han copiado partes de ALPHV para hacer su propio ransomware, la l�nea de tiempo sugiere que la desaparici�n de BlackCat y la aparici�n primero de la botnet Brutus y luego de la operaci�n de ransomware Cicada3301 posiblemente est�n todos conectados�, se�al� la compa��a.

Los ataques contra sistemas VMware ESXi tambi�n implican el uso de cifrado intermitente para cifrar archivos mayores de un umbral establecido (100 MB) y un par�metro llamado �no_vm_ss� para cifrar archivos sin apagar las m�quinas virtuales que se est�n ejecutando en el host.

La aparici�n de Cicada3301 tambi�n ha provocado que un �movimiento apol�tico� ep�nimo, que se ha adentrado en �misteriosos� rompecabezas criptogr�ficos, emita una declaraci�n en la que afirma que no tiene ninguna relaci�n con el plan de ransomware.

Fuente: thehackernews