Cicada3301 Ransomware
.jpg?v=1726787959)
Cicada 3301 es el nombre de una supuesta organización secreta que publicó varios acertijos y puzles entre los años 2012 y 2014. Dichos acertijos eran bastante complejos y requerían habilidades de criptografía, seguridad de datos y esteganografía para ser resueltos. Aunque nunca se pudo llegar al final de los acertijos, se clasificó como el enigma más elaborado y misterioso de la era de internet. Muchos teorizaban que era un método de reclutamiento por parte de la NSA, CIA, MI6 o de algún grupo de ciberdelincuentes.
A principios de junio se ha detectado una nueva operación de ransomware que toma el nombre de Cicada3301, haciéndose pasar por la organización antes mencionada. Esta operación funciona como un ransomware como servicio (RaaS) y, desde su detección, ya ha enumerado 19 víctimas en su sitio de filtraciones, dando así veracidad a su rápida propagación y peligrosidad. [1]
El ransomware Cicada3301 empezó una campaña de reclutamiento para afiliar nuevos activos a su operación en un foro de cibercrimen llamado RAMP. [1]
Imagen de la organización en su campaña de reclutamiento [1]
Cicada3301 opera de manera similar a otros ransomwares que han surgido, empleando tácticas de doble extorsión, violando la seguridad de redes corporativas para después robar sus datos, cifrarlos y luego amenazar a la corporación con filtrar su información si no pagan por el rescate. [1]
En su sitio de filtraciones ya tienen diversas organizaciones publicadas y, además, sirve para las tácticas de doble extorsión. [3]
Imagen del sitio de filtraciones de Cicada3301 [3]
En un principio, esta operación tenía como objetivo sistemas Windows y Linux/ESXi, pero recientemente se ha detectado por parte de la empresa TrueSec que ahora también existe una versión para sistemas VMware ESXi. Esto es algo curioso, ya que, aunque diversos grupos de ransomware también operan en sistemas VMware ESXi, muy pocos están escritos en Rust. [3]
Se han detectado diversas similitudes con el ransomware ALPHV por el equipo de TrueSec, las cuales son: [2]
-
Ambos están escritos en Rust.
-
Ambos utilizan el método de encriptación ChaCha20.
-
Ambos usan comandos casi idénticos para apagar máquinas virtuales y eliminar snapshots.
-
Ambos utilizan comandos de UI para proveer una salida gráfica en el proceso de encriptación.
-
Ambos usan la misma nomenclatura para nombrar a sus archivos, pero cambiando ligeramente; por ejemplo: “RECOVER-[extensión de ransomware]-FILES.txt” a “RECOVER-[extensión de ransomware]-DATA.txt”.
-
Ambos utilizan el parámetro de una llave para desencriptar la nota de rescate.
Imagen de la nota de rescate [1]
Debido a las capacidades de interrumpir en las operaciones de las máquinas virtuales, eliminar opciones de recuperación y el cifrado de archivos, Cicada3301 es clasificado como un ataque de un impacto alto, afectando redes e infraestructuras. [1]
Recomendaciones
-
Auditar herramientas de acceso remoto. (NIST CSF, 2024)
-
Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024)
-
Limitar estrictamente el uso de los protocolos SMB y RDP.
-
Realizar auditorías de seguridad. (NIST CSF, 2024)
-
Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)
-
Tener filtros de correo electrónico y spam.
-
Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social.
-
Realizar copias de seguridad, respaldos o back-ups constantemente.
-
Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos.
-
Revisar continuamente los privilegios de los usuarios.
-
Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
-
Habilitar la autenticación multifactor.
Referencias
- Toulas, B. (2024, septiembre 1) Linux version of new Cicada ransomware targets VMware ESXi servers. Recuperado el 2 de septiembre del 2024 en: https://www.bleepingcomputer.com/news/security/linux-version-of-new-cicada-ransomware-targets-vmware-esxi-servers/
- Wahlen, M. Keijser, N. (2024, agosto 30) Dissecting the Cicada. Recuperado el 2 de septiembre del 2024 en: https://www.truesec.com/hub/blog/dissecting-the-cicada
- Pahanini, P (2024, septiembre 2) A new variant of Cicada ransomware targets VMware ESXi systems. Recuperado el 2 de septiembre del 2024 en: https://securityaffairs.com/167897/cyber-crime/a-new-variant-of-cicada-ransomware-targets-vmware-esxi-systems.html
.jpg)
