Los entornos de hipervisores ESXi basados en el medio ambiente están agudizando cada vez más el apetito de los piratas. Debe decirse que esta amenaza, quien había terminado reaccionando El proveedor de soluciones de virtualización, se caracteriza por el aumento de ransomware y pandillas cibercriminales especializadas en ransomware como un servicio (RAAS) que aborda estos sistemas como BlackCat/Alphv, Black Basta, Defrage, ESXIARGS, Lockbit, Michaelkors, Nevada, Play, Rorschach ... Malveillant Completa la lista: Cicada3301. Este nuevo Cybergang, descubierto en junio de 2024 y que ya ha hecho veinte víctimas, trata de seducir a los afiliados e hizo ransomware al igual que su negocio. Fue objeto de un análisis de Truesec que ha Detalles entregados en su operación.
CICADA3301 - que no tiene nada que ver con la iniciativa homónima de rompecabezas cuantificados lanzados en Internet entre 2012 y 2014 con índices para recolectar en varios lugares del mundo: apunta a los hosts de Windows y Linux/ESXI. "El ransomware CICADA3301 tiene varias similitudes interesantes con el ransomware AlphV", dijo Truesec. Entre ellos, el proveedor señala el hecho de que ambos están escritos en óxido, usan Chacha20 para el cifrado, tienen comandos casi idénticos para detener las máquinas virtuales y eliminar las instantáneas, use los parámetros para proporcionar una interfaz de cifrado gráfico, así como el mismo archivo para nombrar archivos al nombrar solo la extensión de recuperación de recuperar datos.txt. "La función de cifrado contiene una lista de extensiones de archivos, la mayoría de los cuales se preocupan documentos o imágenes. Esto indica que el ransomware se ha utilizado para cifrar los sistemas de Windows antes de usarse en los hosts de ransomware ESXi", dijo la compañía.
Una técnica de doble extorsión
Al igual que otro ransomware, CICADA3301 utiliza una táctica de doble extorsión que consiste en ingresar redes corporativas, robar datos, luego cifrar sistemas y luego amenazar a las víctimas para publicar datos robados en caso de no pagos de un rescate. Al combinar el cifrado de archivos y la interrupción del funcionamiento de las máquinas virtuales y la eliminación de las opciones de recuperación, este RAAS tiene ciertas ventajas para los piratas informáticos. En su investigación, TRUSEC explica que el vector de ataque inicial utilizado por CICADA3301 se basa en una violación de la conexión a través de la herramienta de acceso a distancia ScreenConnect e identificadores robados u obtenido por ataques de fuerza bruta. Esta campaña maliciosa también estaría vinculada a la botNer "Brutus" cuya actividad se remonta a marzo, dos semanas después de que la actividad de Cybergang se detenga en los controladores BlackCat/Alphv, y se involucre en ataques a gran escala contra Cisco VPN, Fortinet, Palo Alto y Sonicwall.
"Es posible que todos estos eventos estén vinculados y que parte del Grupo BlackCat se renombrara CICADA3301 y se haya asociado con el Botnet Brutus, o incluso lo haya lanzado, para tener acceso a posibles víctimas, al tiempo que modifica su ransomware en la nueva cicada3301", avances TrueSec. "También es posible que otro grupo de ciberdelincuentes haya obtenido el código AlphV y lo haya cambiado para satisfacer sus necesidades. Cuando BlackCat finalizó sus actividades, declaró que el código fuente de su ransomware estaba a la venta por $ 5 millones. También es importante tener en cuenta que, en nuestro conocimiento, la cicada3301 no es tan sofisticada como el alphv alphv.
Funciones, configuraciones y cifrado de archivos
CICADA3301 se basa en un binario cuya función principal se llama Linux_ENC sabiendo que es posible agregar un parámetro de "sueño" para activar un retraso antes de ejecutar el ransomware. Su interfaz gráfica permite mostrar el costo del cifrado en la pantalla, lo que indica los archivos que se han cifrado y una estadística sobre la cantidad total de archivos y datos que han sido correctamente. "Si se elige el parámetro NO_VM_SS, el ransomware encriptará los archivos sin detener las máquinas virtuales que activan ESXI. Para hacer esto, utiliza el terminal ESExicli integrado, que también elimina las instantáneas", agrega Truesec. "El binario contiene una función llamada CiCrypt_File que administra el cifrado de archivos. La primera función es extraer otra clave PGP pública que se almacena en la sección de datos. Esta clave se utiliza para el cifrado de la clave simétrica generada para el cifrado de archivos". CICADA3301 archiva los archivos con una clave simétrica generada por OSRNG usando Chacha20, después de lo cual el malware figura la tecla Chacha20 con la tecla RSA suministrada y finalmente escribe la extensión del archivo encriptado. "La extensión del archivo también se agrega al final del archivo cifrado, así como la clave Chacha20 cifrada por RSA", continúa Truesec.
Otras noticias que te pueden interesar