De ALPHV a Cicada3301: una nueva máscara para viejos ransomware

Especialistas de Truesec hablaron sobre un nuevo grupo de ciberdelincuentes llamado Cicada3301, qué operando bajo el modelo RaaS, ya ha atacado a 19 víctimas en todo el mundo, desconcertando a los investigadores de seguridad.

El nombre Cicada3301 fue tomado de un famoso juego en línea de 2012-2014, conocido por sus complejos acertijos criptográficos. Sin embargo, el proyecto original no tiene ninguna relación con el nuevo grupo de ciberdelincuentes y condena categóricamente sus acciones.

Los ataques de Cicada3301 fueron detectados por primera vez el 6 de junio, aunque el anuncio oficial del inicio de operaciones apareció el 29 de junio en el foro RAMP. Esto indica que el grupo operaba de manera independiente antes de comenzar a atraer socios.

Al igual que otras operaciones de ransomware, Cicada3301 utiliza la táctica de doble extorsión. Primero, los atacantes penetran en redes corporativas, roban datos y luego encriptan los dispositivos. Las claves de cifrado y las amenazas de fuga de datos se utilizan como medios de presión sobre las víctimas, obligándolas a pagar el rescate.

Truesec identificó una similitud significativa entre Cicada3301 y ALPHV/BlackCat. Los especialistas sugieren que Cicada3301 podría ser una versión renombrada de ALPHV o una derivación creada por antiguos miembros del grupo. Ambos ransomware están escritos en el lenguaje Rust, utilizan el algoritmo ChaCha20 para cifrar y emplean los mismos comandos para apagar máquinas virtuales y eliminar imágenes, además de compartir el mismo formato de nombre de archivo para las instrucciones de recuperación de datos.

Cicada3301 utilizó credenciales comprometidas para el ataque inicial, realizado a través del software de acceso remoto ScreenConnect. Además, Truesec descubrió que la dirección IP utilizada para el ataque está vinculada al botnet Brutus, que anteriormente fue detectado en ataques masivos a dispositivos con VPN, como Cisco, Fortinet, Palo Alto y SonicWall. Los períodos de actividad de Brutus coinciden con el cese de operaciones de ALPHV, lo que refuerza las suposiciones de una conexión entre los dos grupos.

Cicada3301 presta especial atención a los ataques en entornos VMware ESXi, como lo demuestra el análisis del ransomware para Linux/VMware ESXi, que requiere la introducción de una clave especial para iniciar la operación. La función principal del ransomware utiliza el cifrado por flujo ChaCha20 para cifrar archivos, y luego encripta la clave simétrica utilizando RSA. Los atacantes se enfocan en archivos con extensiones específicas, empleando un cifrado intermedio para archivos grandes.

Cicada3301 también utiliza métodos que dificultan la recuperación de datos después de un ataque. Por ejemplo, el ransomware puede cifrar máquinas virtuales VMware ESXi sin apagarlas previamente, lo que complica el proceso de recuperación después del ataque.

Es posible que Cicada3301 sea una reencarnación del grupo BlackCat o el resultado de su colaboración con el botnet Brutus para obtener acceso a las víctimas. Otra versión sugiere que el código de ALPHV fue adquirido y adaptado por otros ciberdelincuentes, ya que en su momento BlackCat anunció la venta del código fuente de su ransomware por $5 millones.

Todos los hechos apuntan a que Cicada3301 está dirigido por ciberdelincuentes experimentados que saben lo que hacen. Sus exitosos ataques a empresas y el grave daño que causan a las redes corporativas indican que este grupo representa una amenaza significativa para los negocios. El enfoque de Cicada3301 en entornos VMware ESXi subraya su estrategia de causar el máximo daño y obtener beneficios del rescate.