¿Qué es el ransomware Cicada? Cicada (también conocido como Cicada3301) es un ransomware sofisticado escrito en Rust que se ha cobrado más de 20 víctimas desde su descubrimiento en junio de 2024. ¿Por qué el ransomware se llama Cicada? Los criminales detrás de Cicada parecen haberle puesto el nombre de los misteriosos acertijos Cicada 3301 publicados en Internet entre 2012 y 2014, aparentemente para reclutar a individuos muy inteligentes. Por supuesto, no hay ninguna razón para creer que el ransomware esté relacionado de alguna manera con los enigmáticos acertijos que aparecieron una década antes, salvo por el nombre. Es justo. ¿Qué tipo de empresas están siendo afectadas por Cicada? Según una publicación del blog de los investigadores de seguridad de Morphisec, al menos 21 empresas, predominantemente en América del Norte y el Reino Unido, han sido afectadas por Cicada desde el 18 de junio de 2024. La mayoría de las organizaciones afectadas han sido pequeñas y medianas empresas (18), y las tres restantes se describen como grandes empresas. Se han detectado víctimas en diversos sectores industriales, como la fabricación/industria, la atención sanitaria, el comercio minorista y la hostelería. Las organizaciones afectadas por el ransomware Cicada reciben un mensaje que les informa de que los atacantes han descargado sus datos importantes y que los archivos de la red de la empresa han sido cifrados. Otro mensaje dice que la banda está preparada para proporcionar «pruebas de que los datos han sido robados» y eliminará toda la información robada y «lo ayudará a reconstruir su infraestructura y evitar ataques similares en el futuro» si se realiza un pago en criptomonedas. ¿Y supongo que publicarán los datos si no paga? Sí, la banda Cicada dice que si no se paga un rescate a tiempo, los datos robados se publicarán en su blog. Pero también dicen que los datos se enviarán «a todas las autoridades reguladoras de su país, así como a sus clientes, socios y competidores». Esa es una amenaza desagradable. ¿Sabemos quién está detrás de Cicada? Aunque no conocemos las identidades de los responsables, los investigadores de seguridad dicen que existen similitudes sorprendentes entre Cicada y el ransomware ALPHV BlackCat ALPHV, que también está escrito en Rust. Si bien no hay pruebas definitivas, las similitudes entre Cicada y BlackCat, incluido el uso de Rusy, las técnicas de evasión y el tiempo, sugieren una posible conexión. Has mencionado Rust varias veces. ¿Qué es eso? Rust es un lenguaje de programación que se ha vuelto popular entre los desarrolladores de ransomware en los últimos años. En particular, grupos de ransomware como BlackCat y Hive han usado Rust para crear cepas de su malware, en parte porque hace que la ingeniería inversa sea más complicada y debido a las dificultades que tienen algunos sistemas de detección de malware para detectar de manera confiable el ransomware basado en Rust a través del análisis estático. ¿Pensé que las autoridades habían tomado medidas para interrumpir el ransomware ALPHV BlackCat? Bien recordado. En diciembre de 2013, el Departamento de Justicia de los EE. UU. anunció que había desbaratado las operaciones de la banda de ransomware y que había confiscado claves de descifrado para ayudar a las víctimas a desbloquear sus datos sin pagar un rescate. Sin embargo, esa victoria duró poco. ALPHV BlackCat resurgió, amenazó con represalias contra los países que ayudaron con el desmantelamiento y advirtió explícitamente que atacaría hospitales en el futuro. No parecen un grupo agradable. Eso es decirlo suavemente. ¿Qué puedo hacer para reducir el riesgo de que Cicada y otras amenazas de ransomware ataquen mi organización? Mantenga actualizado su software de seguridad. Eduque a sus empleados sobre los correos electrónicos de phishing y otras técnicas de ingeniería social. Implemente procedimientos sólidos de copia de seguridad y recuperación. Controle su entorno para detectar actividades sospechosas. Considere la posibilidad de emplear servicios de búsqueda de amenazas para identificar y mitigar las amenazas de forma proactiva. Otras prácticas recomendadas incluyen la creación de contraseñas seguras y únicas y mantener el software actualizado. También se recomienda informar los ataques de ransomware a CISA, una oficina local del FBI o una oficina de campo del Servicio Secreto.Nota del editor: Las opiniones expresadas en este artículo de autor invitado son únicamente las del colaborador y no reflejan necesariamente las de Tripwire.