Pesquisadores de segurança cibernética coletaram insights adicionais sobre um ransomware como serviço (RaaS) nascente chamado Cigarra3301 depois de obter acesso ao painel de afiliados do grupo na darkish internet.
O Group-IB, sediado em Cingapura, disse que contatou o agente da ameaça por trás da persona Cicada3301 no fórum de crimes cibernéticos RAMP por meio do serviço de mensagens Tox depois que este último publicou um anúncio, convocando novos parceiros para seu programa de afiliados.
“No painel de afiliados do grupo de ransomware Cicada3301 continha seções como Painel, Notícias, Empresas, Empresas de bate-papo, Suporte por bate-papo, Conta, uma seção de perguntas frequentes e Logout”, disseram os pesquisadores Nikolay Kichatov e Sharmine Low em um novo análise publicada hoje.
Cicada3301 veio à tona pela primeira vez em junho de 2024, com a comunidade de segurança cibernética descobrindo fortes semelhanças de código-fonte com o agora extinto grupo de ransomware BlackCat. Estima-se que o esquema RaaS tenha comprometido nada menos que 30 organizações em setores críticos, a maioria das quais localizadas nos EUA e no Reino Unido
O ransomware baseado em Rust é multiplataforma, permitindo que afiliados direcionem dispositivos que executam Home windows, distribuições Linux Ubuntu, Debian, CentOS, Rocky Linux, Scientific Linux, SUSE, Fedora, ESXi, NAS, PowerPC, PowerPC64 e PowerPC64LE.
Como outras variedades de ransomware, os ataques envolvendo o Cicada3301 têm a capacidade de criptografar arquivos complete ou parcialmente, mas não antes de desligar máquinas virtuais, inibir a recuperação do sistema, encerrar processos e serviços e excluir cópias de sombra. Também é capaz de criptografar compartilhamentos de rede para máximo impacto.
“Cicada3301 administra um programa de afiliados que recruta testadores de penetração (pentesters) e corretores de acesso, oferecendo uma comissão de 20% e fornecendo um painel baseado na internet com amplos recursos para afiliados”, observaram os pesquisadores.
Um resumo das diferentes seções é o seguinte –
- Painel – Uma visão geral dos logins bem-sucedidos ou malsucedidos do afiliado e do número de empresas atacadas
- Notícias – Informações sobre atualizações de produtos e novidades do programa ransomware Cicada3301
- Empresas – Oferece opções para adicionar vítimas (ou seja, nome da empresa, valor do resgate exigido, information de validade do desconto, and so forth.) e criar versões do ransomware Cicada3301
- Empresas de bate-papo – Uma interface para comunicar e negociar com as vítimas
- Suporte por bate-papo – Uma interface para os afiliados se comunicarem com representantes do grupo de ransomware Cicada3301 para resolver problemas
- Conta – Uma seção dedicada ao gerenciamento de contas de afiliados e à redefinição de senha
- Perguntas frequentes – Fornece detalhes sobre regras e guias sobre como criar vítimas na seção “Empresas”, configurar o construtor e etapas para executar o ransomware em diferentes sistemas operacionais
“O grupo de ransomware Cicada3301 estabeleceu-se rapidamente como uma ameaça significativa no cenário do ransomware, devido às suas operações sofisticadas e ferramentas avançadas”, disseram os pesquisadores.
“Ao aproveitar a criptografia ChaCha20 + RSA e oferecer um painel de afiliados personalizável, o Cicada3301 permite que seus afiliados executem ataques altamente direcionados. Sua abordagem de exfiltração de dados antes da criptografia adiciona uma camada adicional de pressão sobre as vítimas, enquanto a capacidade de interromper máquinas virtuais aumenta o impacto dos seus ataques.”
