Una nueva variante de ransomware llamada Cicada3301 está dirigida a las pequeñas y medianas empresas (PYMEs).
Morphisec, una empresa de ciberseguridad, reveló que este ransomware utiliza ataques oportunistas para explotar vulnerabilidades y tiene como objetivo principal las PYMEs.
Cicada3301, escrito en Rust, puede atacar sistemas Windows, así como hosts Linux/ESXi.
Este ransomware surgió por primera vez en junio de 2024 y se promocionó en el foro subterráneo RAMP como plataforma de ransomware como servicio (RaaS).
Una de las características destacadas de Cicada3301 es la incrustación de las credenciales comprometidas del usuario, que se utilizan para ejecutar PsExec, una herramienta legítima para la ejecución remota de programas.
También utiliza ChaCha20 para la encriptación, fsutil para evaluar los vínculos simbólicos y encriptar archivos redireccionados, y IISReset.exe para detener los servicios de IIS y encriptar archivos.
Este ransomware cuenta con pasos específicos para eliminar copias de sombra, deshabilitar la recuperación del sistema, aumentar el valor MaxMpxCt para admitir volúmenes más altos de tráfico y borrar todos los registros de eventos.
Además, detiene las máquinas virtuales (VMs) desplegadas localmente y termina varios servicios de copia de seguridad y recuperación, así como una lista codificada de docenas de procesos.
El ransomware Cicada3301 apunta a un total de 35 extensiones de archivo específicas y ha sido observado deteniendo máquinas virtuales (VMs) desplegadas localmente.
La empresa Morphisec también descubrió herramientas adicionales como EDRSandBlast que aprovechan un controlador firmado vulnerable para eludir las detecciones de EDR, una técnica adoptada por el grupo de ransomware BlackByte en el pasado.
Además, se encontraron pruebas de que Cicada3301 podría haberse asociado con los operadores de la red botnet Brutus para obtener acceso inicial a las redes empresariales.
La empresa señaló que, independientemente de su relación con ALPHV, la línea de tiempo sugiere una posible conexión entre la desaparición de BlackCat y la aparición de la red botnet Brutus y luego del ransomware Cicada3301.
Los ataques contra los sistemas VMware ESXi también implican el uso de encriptación intermitente para cifrar archivos mayores a un cierto tamaño y un parámetro para encriptar archivos sin apagar las máquinas virtuales en ejecución en el host.
Un movimiento homónimo, no relacionado con el esquema de ransomware, emitió una declaración en respuesta al surgimiento de Cicada3301.
Vía The Hacker News
