Uma nova operação de ransomware como serviço (RaaS) está se fazendo passar pela organização legítima Cicada 3301 e já listou 19 vítimas em seu portal de extorsão, atacando rapidamente empresas em todo o mundo.
A nova operação de crime cibernético adotou o nome e o logotipo do enigmático jogo online/mundo real de 2012-2014, chamado Cicada 3301, que envolvia complexos quebra-cabeças criptográficos. No entanto, não há qualquer conexão entre os dois, e o projeto legítimo emitiu uma declaração renunciando a qualquer associação com o grupo hacker, condenando as ações da operação de ransomware.
“Não conhecemos a identidade dos criminosos por trás desses crimes hediondos e não estamos associados a esses grupos de forma alguma”, afirma a declaração da organização Cicada 3301.
O Cicada3301 RaaS começou a promover sua operação e recrutar afiliados em 29 de junho de 2024, por meio de uma postagem no fórum de ransomware e crimes cibernéticos conhecido como RAMP. No entanto, a BleepingComputer já havia detectado ataques atribuídos ao Cicada em 6 de junho, indicando que o grupo operava de forma independente antes de tentar recrutar afiliados.
Operador do ransomware Cicada3301 procura afiliados nos fóruns da RAMP
Fonte: Truesec
Como em outras operações de ransomware, o Cicada3301 utiliza táticas de dupla extorsão, invadindo redes corporativas, roubando dados e, em seguida, criptografando dispositivos. A chave de criptografia e as ameaças de vazamento dos dados roubados são usadas como pressão para forçar as vítimas a pagar um resgate.
O grupo hacker opera um site de vazamento de dados, utilizado como parte de seu esquema de dupla extorsão. Uma análise do novo malware realizada pela Truesec revelou semelhanças significativas entre o Cicada3301 e o ALPHV/BlackCat, indicando uma possível mudança de marca ou uma bifurcação criada por ex-membros da equipe principal do ALPHV.
Cicada3301 extortion portal
Fonte: BleepingComputer
Isso se baseia nos seguintes pontos:
Ambos são escritos em Rust.
Ambos usam o algoritmo ChaCha20 para criptografia.
Ambos empregam comandos idênticos de desligamento de VM e limpeza de snapshot.
Ambos utilizam os mesmos parâmetros de comando da interface do usuário, a mesma convenção de nomenclatura de arquivos e o mesmo método de descriptografia de notas de resgate.
Ambos adotam criptografia intermitente em arquivos maiores.
Para fins de contexto, o ALPHV realizou um golpe de saída no início de março de 2024, envolvendo alegações falsas sobre uma operação de remoção pelo FBI, após roubar um pagamento de US$ 22 milhões da Change Healthcare, de uma de suas afiliadas.
A Truesec também encontrou indícios de que o grupo hacker Cicada3301 pode fazer parceria ou utilizar o botnet Brutus para obter acesso inicial a redes corporativas. Esse botnet já foi associado a atividades de força bruta de VPN em escala global, visando dispositivos Cisco, Fortinet, Palo Alto e SonicWall. É importante notar que a atividade do Brutus foi detectada pela primeira vez duas semanas após o ALPHV encerrar suas operações, sugerindo uma possível ligação entre os dois grupos em termos de cronograma.
O Cicada3301 é uma operação de ransomware baseada em Rust com criptografadores ESXi para Windows e Linux/VMware. No relatório da Truesec, os pesquisadores analisaram o criptografador VMWare ESXi Linux usado na operação.
Assim como o BlackCat e outras famílias de ransomware, como o RansomHub, uma chave especial deve ser inserida como um argumento de linha de comando para iniciar o criptografador. Essa chave é utilizada para descriptografar um blob JSON criptografado que contém a configuração que o criptografador usará ao criptografar um dispositivo.
A Truesec afirma que o criptografador verifica a validade da chave ao usá-la para descriptografar a nota de resgate e, se for bem-sucedido, continua com o restante da operação de criptografia. Sua função principal (linux_enc) utiliza a cifra de fluxo ChaCha20 para criptografia de arquivos e, em seguida, criptografa a chave simétrica usada no processo com uma chave RSA. As chaves de criptografia são geradas aleatoriamente usando a função 'OsRng'.
O Cicada3301 tem como alvo extensões de arquivo específicas que correspondem a documentos e arquivos de mídia e verifica seu tamanho para determinar onde aplicar a criptografia intermitente (>100 MB) e onde criptografar todo o conteúdo do arquivo (<100 MB).
Ao criptografar arquivos, o criptografador anexa uma extensão aleatória de sete caracteres ao nome do arquivo e cria notas de resgate denominadas 'RECOVER-[extensão]-DATA.txt', como mostrado abaixo. É relevante destacar que os criptografadores BlackCat/ALPHV também usavam extensões aleatórias de sete caracteres e uma nota de resgate chamada 'RECOVER-[extensão]-FILES.txt'.
Cicada3301 ransom note
Fonte: BleepingComputer
Os operadores do ransomware podem definir um parâmetro de suspensão para atrasar a execução do criptografador, potencialmente evitando a detecção imediata. Um parâmetro “no_vm_ss” também ordena que o malware criptografe máquinas virtuais VMware ESXi sem tentar desligá-las primeiro.
No entanto, por padrão, o Cicada3301 utiliza os comandos 'esxcli' e 'vim-cmd' do ESXi para desligar as máquinas virtuais e excluir seus instantâneos antes de criptografar os dados.
esxcli –formatter=csv –format-param=fields==\”WorldID,DisplayName\” vm process list | grep -viE \”,(),\” | awk -F \”\\\”*,\\\”*\” \'{system(\”esxcli vm process kill –type=force –world-id=\”$1)}\’ > /dev/null 2>&1;
for i in `vim-cmd vmsvc/getallvms| awk \'{print$1}\’`;do vim-cmd vmsvc/snapshot.removeall $i & done > /dev/null 2>&1As atividades e a taxa de sucesso do Cicada3301 indicam um grupo experiente, possivelmente relacionado a uma reinicialização do ALPHV ou, pelo menos, a afiliados com histórico prévio em ransomware. O foco do novo ransomware em ambientes ESXi destaca seu design estratégico para maximizar os danos em ambientes corporativos, que muitos hackers agora visam para obter lucros elevados.
Ao combinar a criptografia de arquivos com a capacidade de interromper operações de VM e eliminar opções de recuperação, o Cicada3301 garante um ataque de alto impacto que afeta redes e infraestruturas inteiras, maximizando a pressão sobre as vítimas.
Via - BC
Comments