Pesquisadores de segurança cibernética desvendaram o funcionamento interno de uma nova variante de ransomware chamada Cicada3301, que compartilha semelhanças com a extinta operação BlackCat (também conhecida como ALPHV).
“Parece que o ransomware Cicada3301 tem como alvo principal pequenas e médias empresas (PMEs), provavelmente por meio de ataques oportunistas que exploram vulnerabilidades como vetor de acesso inicial”, disse a empresa de segurança cibernética Morphisec em um relatório técnico compartilhado com o The Hacker Information.
Escrito em Rust e capaz de atingir hosts Home windows e Linux/ESXi, o Cicada3301 surgiu pela primeira vez em junho de 2024, convidando potenciais afiliados a se juntarem à sua plataforma de ransomware como serviço (RaaS) por meio de um anúncio no fórum clandestino RAMP.
Um aspecto notável do ransomware é que o executável incorpora as credenciais do usuário comprometido, que são então usadas para executar o PsExec, uma ferramenta legítima que possibilita executar programas remotamente.
As semelhanças do Cicada3301 com o BlackCat também se estendem ao uso do ChaCha20 para criptografia, do fsutil para avaliar hyperlinks simbólicos e criptografar arquivos redirecionados, bem como do IISReset.exe para interromper os serviços do IIS e criptografar arquivos que, de outra forma, poderiam ser bloqueados para modificação ou exclusão.
Outras sobreposições ao BlackCat incluem etapas realizadas para excluir cópias de sombra, desabilitar a recuperação do sistema manipulando o utilitário bcdedit, aumentar o valor MaxMpxCt para suportar maiores volumes de tráfego (por exemplo, solicitações SMB PsExec) e limpar todos os logs de eventos utilizando o utilitário wevtutil.
Cicada3301 também observou a interrupção de máquinas virtuais (VMs) implantadas localmente, um comportamento adotado anteriormente pelo ransomware Megazord e pelo ransomware Yanluowang, e o encerramento de vários serviços de backup e recuperação e uma lista codificada de dezenas de processos.
Além de manter uma lista interna de arquivos e diretórios excluídos durante o processo de criptografia, o ransomware tem como alvo um complete de 35 extensões de arquivo: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, uncooked, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm e txt.
A Morphisec disse que sua investigação também descobriu ferramentas adicionais como o EDRSandBlast, que transformam um driver assinado vulnerável em uma arma para ignorar detecções de EDR, uma técnica também adotada pelo grupo de ransomware BlackByte no passado.
As descobertas seguem a análise da Truesec da versão ESXi do Cicada3301, ao mesmo tempo em que revelam indícios de que o grupo pode ter se unido aos operadores do botnet Brutus para obter acesso inicial às redes corporativas.
“Independentemente de o Cicada3301 ser uma reformulação do ALPHV, de eles terem um ransomware escrito pelo mesmo desenvolvedor do ALPHV ou de terem apenas copiado partes do ALPHV para criar seu próprio ransomware, a linha do tempo sugere que o fim do BlackCat e o surgimento primeiro do botnet Brutus e depois da operação de ransomware Cicada3301 podem estar todos conectados”, observou a empresa.
Os ataques contra sistemas VMware ESXi também envolvem o uso de criptografia intermitente para criptografar arquivos maiores que um limite definido (100 MB) e um parâmetro chamado “no_vm_ss” para criptografar arquivos sem desligar as máquinas virtuais em execução no host.
O surgimento do Cicada3301 também levou um “movimento apolítico” homônimo, que se envolveu em quebra-cabeças criptográficos “misteriosos”, a emitir uma declaração de que não tem nenhuma conexão com o esquema de ransomware.
