03 de septiembre de 2024Ravie LakshmananSeguridad de endpoints / MalwareLos investigadores de ciberseguridad han descifrado el funcionamiento interno de una nueva variante de ransomware llamada Cicada3301 que comparte similitudes con la operación BlackCat (también conocida como ALPHV), ahora desaparecida. «Parece que el ransomware Cicada3301 se dirige principalmente a las pequeñas y medianas empresas (PYMES), probablemente a través de ataques oportunistas que explotan vulnerabilidades como vector de acceso inicial», dijo la empresa de ciberseguridad Morphisec en un informe técnico compartido con The Hacker News. Escrito en Rust y capaz de apuntar tanto a hosts Windows como Linux/ESXi, Cicada3301 surgió por primera vez en junio de 2024, invitando a posibles afiliados a unirse a su plataforma de ransomware como servicio (RaaS) a través de un anuncio en el foro clandestino RAMP. Un aspecto destacable del ransomware es que el ejecutable incorpora las credenciales del usuario afectado, que luego se utilizan para ejecutar PsExec, una herramienta legítima que permite ejecutar programas de forma remota. Las similitudes de Cicada3301 con BlackCat también se extienden a su uso de ChaCha20 para el cifrado, fsutil para evaluar enlaces simbólicos y cifrar archivos redirigidos, así como IISReset.exe para detener los servicios de IIS y cifrar archivos que de otro modo podrían quedar bloqueados para su modificación o eliminación. Otras superposiciones con BlackCat incluyen los pasos realizados para eliminar las instantáneas, deshabilitar la recuperación del sistema manipulando la utilidad bcdedit, aumentar el valor MaxMpxCt para soportar mayores volúmenes de tráfico (por ejemplo, solicitudes SMB PsExec) y borrar todos los registros de eventos utilizando la utilidad wevtutil. Cicada3301 también ha observado la detención de máquinas virtuales (VM) implementadas localmente, un comportamiento adoptado previamente por el ransomware Megazord y el ransomware Yanluowang, y la finalización de varios servicios de copia de seguridad y recuperación y una lista codificada de docenas de procesos. Además de mantener una lista integrada de archivos y directorios excluidos durante el proceso de cifrado, el ransomware ataca un total de 35 extensiones de archivo: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm y txt. Morphisec afirmó que su investigación también descubrió herramientas adicionales como EDRSandBlast que utilizan un controlador firmado vulnerable para eludir las detecciones de EDR, una técnica que también adoptó el grupo de ransomware BlackByte en el pasado. Los hallazgos se producen tras el análisis de Truesec de la versión ESXi de Cicada3301, al tiempo que también revelan indicios de que el grupo puede haberse asociado con los operadores de la botnet Brutus para obtener acceso inicial a las redes empresariales. «Independientemente de si Cicada3301 es una nueva marca de ALPHV, si tienen un ransomware escrito por el mismo desarrollador que ALPHV o si simplemente han copiado partes de ALPHV para crear su propio ransomware, la cronología sugiere que la desaparición de BlackCat y la aparición primero de la botnet Brutus y luego de la operación del ransomware Cicada3301 posiblemente estén todas conectadas», señaló la empresa. Los ataques contra los sistemas VMware ESXi también implican el uso de cifrado intermitente para cifrar archivos mayores a un umbral establecido (100 MB) y un parámetro llamado «no_vm_ss» para cifrar archivos sin apagar las máquinas virtuales que se ejecutan en el host. La aparición de Cicada3301 también ha impulsado a un «movimiento apolítico» homónimo, que ha incursionado en acertijos criptográficos «misteriosos», a emitir una declaración en la que afirma que no tiene conexión con el esquema de ransomware. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.