Los investigadores de ciberseguridad han obtenido información adicional sobre un incipiente ransomware como servicio (RaaS) llamado cigarra3301 después de obtener acceso con éxito al panel de afiliados del grupo en la web oscura.
Group-IB, con sede en Singapur, dijo que se puso en contacto con el actor de amenazas detrás de la persona Cicada3301 en el foro de cibercrimen RAMP a través del servicio de mensajería Tox después de que este último publicara un anuncio solicitando nuevos socios para su programa de afiliados.
“Dentro del panel de Afiliados del grupo de ransomware Cicada3301 contenía secciones como Panel de control, Noticias, Empresas, Empresas de chat, Soporte de chat, Cuenta, una sección de preguntas frecuentes y Cerrar sesión”, dijeron los investigadores Nikolay Kichatov y Sharmine Low en un nuevo análisis publicado hoy.
Cicada3301 salió a la luz por primera vez en junio de 2024, cuando la comunidad de ciberseguridad descubrió fuertes similitudes en el código fuente con el ahora desaparecido grupo de ransomware BlackCat. Se estima que el esquema RaaS ha comprometido no menos de 30 organizaciones en sectores críticos, la mayoría de las cuales están ubicadas en los EE. UU. y el Reino Unido.
El ransomware basado en Rust es multiplataforma, lo que permite a los afiliados apuntar a dispositivos que ejecutan Windows, distribuciones de Linux Ubuntu, Debian, CentOS, Rocky Linux, Scientific Linux, SUSE, Fedora, ESXi, NAS, PowerPC, PowerPC64 y PowerPC64LE.
Al igual que otras cepas de ransomware, los ataques que involucran a Cicada3301 tienen la capacidad de cifrar archivos total o parcialmente, no sin antes apagar máquinas virtuales, inhibir la recuperación del sistema, finalizar procesos y servicios y eliminar instantáneas. También es capaz de cifrar recursos compartidos de red para lograr el máximo impacto.
“Cicada3301 ejecuta un programa de afiliados que recluta evaluadores de penetración (pentesters) y corredores de acceso, ofrece una comisión del 20% y proporciona un panel web con amplias funciones para los afiliados”, señalaron los investigadores.
Un resumen de las diferentes secciones es el siguiente:
- Panel – Una descripción general de los inicios de sesión exitosos o fallidos por parte del afiliado y la cantidad de empresas atacadas
- Noticias – Información sobre actualizaciones de productos y novedades del programa ransomware Cicada3301
- Empresas – Proporciona opciones para agregar víctimas (es decir, nombre de la empresa, monto del rescate solicitado, fecha de vencimiento del descuento, etc.) y crear compilaciones de ransomware Cicada3301.
- Empresas de chat – Una interfaz para comunicarse y negociar con las víctimas.
- Soporte por chat – Una interfaz para que los afiliados se comuniquen con representantes del grupo de ransomware Cicada3301 para resolver problemas.
- Cuenta – Una sección dedicada a la gestión de cuentas de afiliados y al restablecimiento de su contraseña.
- Preguntas frecuentes – Proporciona detalles sobre reglas y guías sobre cómo crear víctimas en la sección “Empresas”, configurar el creador y pasos para ejecutar el ransomware en diferentes sistemas operativos.
“El grupo de ransomware Cicada3301 se ha establecido rápidamente como una amenaza importante en el panorama del ransomware, debido a sus operaciones sofisticadas y sus herramientas avanzadas”, dijeron los investigadores.
“Al aprovechar el cifrado ChaCha20 + RSA y ofrecer un panel de afiliados personalizable, Cicada3301 permite a sus afiliados ejecutar ataques altamente dirigidos. Su enfoque de exfiltrar datos antes del cifrado añade una capa adicional de presión sobre las víctimas, mientras que la capacidad de detener las máquinas virtuales aumenta el impacto. de sus ataques.”