Una nueva variante de ransomware de doble extorsión ataca a los servidores VMware ESXi, según han descubierto investigadores de seguridad. El grupo que está detrás de él, llamado Cicada3301, ha estado promocionando su operación de ransomware como servicio desde junio. Una vez que un atacante tiene acceso inicial a una red corporativa, puede copiar y cifrar sus datos privados utilizando el ransomware Cicada3301. A continuación, puede retener la clave de descifrado y amenazar con exponer los datos en el sitio de fugas dedicado de Cicada3310 para obligar a la víctima a pagar un rescate. El sitio de fugas de Cicada3301 ha enumerado al menos 20 víctimas, predominantemente en América del Norte e Inglaterra, según Morphisec. Las empresas eran de todos los tamaños y provenían de varios sectores, incluidos la fabricación, la atención sanitaria, el comercio minorista y la hostelería. La empresa de seguridad sueca Truesec se enteró por primera vez del grupo cuando publicó en el foro de ciberdelincuencia RAMP el 29 de junio en un intento de reclutar algunos nuevos afiliados. Sin embargo, BleepingComputer dice que ha sido informado de los ataques de Cicada desde el 6 de junio. Cómo funciona el ransomware Los atacantes obtienen entrada mediante fuerza bruta o robando credenciales válidas e iniciando sesión de forma remota a través de ScreenConnect y ejecutando el ransomware. Los comandos «esxcli» y «vim-cmd» de ESXi se ejecutan primero para apagar las máquinas virtuales y eliminar cualquier instantánea. Luego, el ransomware usa el cifrado ChaCha20 y una clave simétrica generada usando el generador de números aleatorios «Osrng» para cifrar los archivos. Todos los archivos de menos de 100 MB se cifran en su totalidad, mientras que el cifrado intermitente se aplica a los más grandes. La función de cifrado se dirige a ciertas extensiones de archivo asociadas con documentos e imágenes, incluidos docx, xslx y pptx. Los investigadores de Truesec dicen que esto indica que el ransomware se usó originalmente para cifrar sistemas Windows antes de ser portado para hosts ESXi. A los nombres de los archivos cifrados se les añaden extensiones aleatorias de siete caracteres que luego se utilizan para indicar sus respectivas notas de recuperación, almacenadas en la misma carpeta. Esta es también una técnica utilizada por el grupo líder de RaaS BlackCat/ALPHV. El ransomware Cicada3301 permite al operador ejecutar una serie de parámetros personalizados que podrían ayudarlo a evadir la detección. Por ejemplo, «sleep» retrasa el cifrado una cantidad definida de segundos y «ui» proporciona datos en tiempo real sobre el proceso de cifrado, como la cantidad de archivos cifrados. Cuando se completa el cifrado, la clave simétrica ChaCha20 se cifra con una clave RSA. Esto es necesario para descifrar las instrucciones de recuperación y los actores de la amenaza pueden entregarla una vez que se haya realizado el pago. El atacante también puede exfiltrar los datos de la víctima y amenazar con publicarlos en el sitio de fugas de Cicada3301 para obtener más ventajas. VER: Operación masiva de ransomware tiene como objetivo VMware ESXi: Cómo protegerse de esta amenaza de seguridad Cobertura de seguridad de lectura obligada Atacantes cibernéticos suplantando a una organización real El grupo de ransomware se hace pasar por una organización legítima llamada «Cicada 3301», responsable de una famosa serie de juegos de criptografía. No hay conexión entre los dos, a pesar de que los actores de la amenaza han robado su logotipo y marca. VER: Hoja de trucos de ransomware para 2024 El proyecto de rompecabezas Cicada 3301 ha publicado una declaración en la que se distancia del grupo RaaS, diciendo: «No conocemos la identidad de los criminales detrás de estos crímenes atroces y no estamos asociados con estos grupos de ninguna manera». Hay una serie de similitudes entre Cicada3301 y ALPHV/BlackCat que llevaron a los investigadores a creer que están conectados. Los servidores de ALPHV/BlackCat dejaron de funcionar en marzo, por lo que sería viable que el nuevo grupo represente un cambio de marca o una escisión iniciada por algunos de sus miembros principales. Cicada3301 también podría consistir en un grupo diferente de atacantes que simplemente compraron el código fuente de ALPHV/BlackCat después de que cesara su operación. Además de ALPHV/BlackCat, el ransomware Cicada3301 se ha conectado a una botnet llamada «Brutus». La dirección IP de un dispositivo para iniciar sesión en la red de una víctima a través de ScreenConnect está vinculada a «una amplia campaña de adivinación de contraseñas de varias soluciones VPN» por parte de Brutus, dice Truesec. Cicada3310 podría ser un cambio de marca o una escisión de ALPHV/BlackCat ALPHV/BlackCat cesó sus operaciones después de un ciberataque ejecutado descuidadamente contra Change Healthcare en febrero. El grupo no pagó a un afiliado su porcentaje del rescate de $ 22 millones, por lo que el afiliado los expuso, lo que llevó a ALPHV a simular una toma de control de las fuerzas del orden y apagar sus servidores. VEA: Sitio de ransomware BlackCat/ALPHV incautado en un esfuerzo internacional de eliminación Cicada3301 podría representar un cambio de marca o un grupo derivado de ALPHV/BlackCat. También hay una serie de similitudes entre sus ransomware, por ejemplo: Ambos están escritos en Rust. Ambos usan el algoritmo ChaCha20 para el cifrado. Ambos emplean comandos idénticos de apagado de VM y borrado de instantáneas. Ambos usan los mismos parámetros de comando de interfaz de usuario, la misma convención de nomenclatura de archivos y el mismo método de descifrado de notas de rescate. Ambos usan cifrado intermitente en archivos más grandes. Además, las actividades de fuerza bruta de la botnet Brutus, que ahora se ha vinculado a Cicada3310, se detectaron por primera vez solo dos semanas después de que ALPHV/BlackCat cerrara sus servidores en marzo. VMware ESXi se está convirtiendo en un objetivo popular de ransomware Truesec dijo que el ransomware Cicada 3310 se usa tanto en hosts Windows como Linux/VMware ESXi. VMware ESXi es un hipervisor de metal desnudo que permite la creación y administración de máquinas virtuales directamente en el hardware del servidor, que puede incluir servidores críticos. El entorno ESXi se ha convertido en el objetivo de muchos ciberataques últimamente, y VMware ha estado proporcionando parches frenéticamente a medida que surgen nuevas vulnerabilidades. Poner en riesgo el hipervisor puede permitir a los atacantes desactivar varias máquinas virtuales simultáneamente y eliminar opciones de recuperación como instantáneas o copias de seguridad, lo que garantiza un impacto significativo en las operaciones de una empresa. Este enfoque pone de relieve el interés de los ciberatacantes en el enorme beneficio que pueden obtener al causar el máximo daño posible a las redes corporativas.