Table of Contents
Análise do Ransomware Cicada3301
Pesquisadores de cibersegurança obtiveram novas informações sobre um emergente ransomware como serviço (RaaS) chamado Cicada3301, após acessar com sucesso o painel de afiliados do grupo na dark web. A Group-IB, com sede em Cingapura, relatou que contatou o ator de ameaças por trás da persona Cicada3301 no fórum de cibercrime RAMP através do serviço de mensagens Tox, depois que este fez um anúncio solicitando novos parceiros para seu programa de afiliados.
“Dentro do painel de controle do Cicada3301, encontrava-se seções como: Dashboard, Notícias, Empresas, Chat com Empresas, Chat de Suporte, Conta, uma seção de FAQ e Logout”, afirmaram os pesquisadores Nikolay Kichatov e Sharmine Low.
Origem e Características do Cicada3301
O Cicada3301 veio à tona em junho de 2024, e a comunidade de cibersegurança identificou fortes semelhanças de código-fonte com o grupo de ransomware BlackCat, agora extinto. Estima-se que o esquema RaaS tenha comprometido pelo menos 30 organizações em setores críticos, a maioria delas localizadas nos EUA e no Reino Unido.
Este ransomware, baseado em Rust, é multiplataforma, o que permite que os afiliados ataquem dispositivos que executam sistemas operacionais como:
- Windows
- Distribuições Linux: Ubuntu, Debian, CentOS, Rocky Linux, Scientific Linux, SUSE, Fedora
- ESXi, NAS
- PowerPC, PowerPC64, PowerPC64LE
Métodos de Ataque
Como outras variantes de ransomware, os ataques com o Cicada3301 têm a capacidade de criptografar arquivos total ou parcialmente, antes de realizar ações que incluem:
- Desligar máquinas virtuais
- Inibir a recuperação do sistema
- Terminar processos e serviços
- Excluir cópias de sombra
- Criptografar compartilhamentos de rede para maximizar o impacto
Programa de Afiliados
O Cicada3301 opera um programa de afiliados que recruta testadores de penetração (pentesters) e corretores de acesso, oferecendo uma comissão de 20%. O grupo também fornece um painel baseado na web com uma gama de recursos para os afiliados.
Estrutura do Painel de Afiliados
Um resumo das diferentes seções do painel de afiliados é o seguinte:
- Dashboard – Um panorama das tentativas de login bem-sucedidas ou mal-sucedidas realizadas pelo afiliado e o número de empresas atacadas.
- Notícias – Informações sobre atualizações de produtos e notícias relativas ao programa de ransomware Cicada3301.
- Empresas – Fornece opções para adicionar vítimas (ou seja, nome da empresa, valor do resgate exigido, data de expiração do desconto, etc.) e criar builds do ransomware Cicada3301.
- Chat com Empresas – Uma interface para comunicação e negociação com as vítimas.
- Chat de Suporte – Uma interface para os afiliados se comunicarem com representantes do grupo Cicada3301 para resolver questões.
- Conta – Seção dedicada à gestão da conta do afiliado e redefinição de senha.
- FAQ – Oferece detalhes sobre regras e guias para a criação de vítimas na seção “Empresas”, configuração do construtor e passos para executar o ransomware em diferentes sistemas operacionais.
“O grupo de ransomware Cicada3301 estabeleceu rapidamente sua posição como uma ameaça significativa no cenário de ransomware, devido às suas operações sofisticadas e ferramentas avançadas”, afirmaram os pesquisadores.
“Ao alavancar a criptografia ChaCha20 + RSA e oferecer um painel de afiliados personalizável, o Cicada3301 permite que seus afiliados executem ataques altamente direcionados. Sua abordagem de exfiltração de dados antes da criptografia adiciona uma camada adicional de pressão sobre as vítimas, enquanto a capacidade de interromper máquinas virtuais aumenta o impacto de seus ataques.”
#Cibersegurança, #Ransomware, #Cicada3301, #ThreatIntelligence, #DarkWeb, #CyberCrime, #Ciberataques, #RaaS
Fonte:https://thehackernews.com/2024/10/cross-platform-cicada3301-ransomware.html