Los investigadores de seguridad han descubierto un nuevo ransomware de doble extorsión con vínculos distintivos con la variante ALPHV/BlackCat y la botnet Brutus. El grupo, apodado «Cicada3301» en honor a un juego de criptografía en línea, ataca entornos VMware ESXi con el objetivo de apagar máquinas virtuales, eliminar instantáneas y cifrar datos, según Truesec. Según los investigadores, la primera publicación del grupo en un sitio de filtración de datos se produjo el 25 de junio, seguida de una invitación a los afiliados en ciernes cuatro días después para unirse a la plataforma, en el foro de delitos cibernéticos Ramp. El informe señaló que solo se sabe que unos pocos grupos han utilizado ransomware ESXi escrito en Rust, y que el ahora desaparecido grupo ALPHV es uno de ellos. Otras similitudes con los grupos incluyen: Ambos usan ChaCha20 para el cifrado Ambos usan comandos casi idénticos para apagar la VM y eliminar las instantáneas Ambos usan parámetros de comando –ui para proporcionar una salida gráfica sobre el cifrado Ambos usan la misma convención para nombrar archivos, pero cambiando “RECOVER-“ransomware extension”-FILES.txt” a “RECOVER-“ransomware extension”-DATA.txt” Cómo se usa el parámetro clave para descifrar la nota de ransomware “El vector de ataque inicial fue el actor de amenazas que usaba credenciales válidas, ya sea robadas o forzadas, para iniciar sesión usando ScreenConnect”, explicó Truesec. “La dirección IP 91.92.249.203, utilizada por el actor de amenazas, se ha vinculado a una botnet conocida como ‘Brutus’ que, a su vez, se ha vinculado a una amplia campaña de adivinación de contraseñas de varias soluciones VPN, incluida ScreenConnect”. Truesec sugirió que las dos entidades podrían estar conectadas, al igual que ALPHV y Cicada3301, aunque también es teóricamente posible que un grupo independiente haya comprado el código fuente cuando la operación RaaS cerró en marzo. Por su parte, los propietarios del juego original Cicada3301 publicaron un comunicado en el que se distanciaban del nuevo grupo RaaS. El grupo ALPHV/BlackCat pareció llevar a cabo una clásica estafa de salida después de recibir un enorme rescate de 22 millones de dólares de Change Healthcare a principios de año, dejando a los afiliados abandonados a su suerte. Leer más sobre ALPHV/BlackCat: La banda de ransomware BlackCat ataca a empresas a través de anuncios de Google