Investigadores de seguridad han descubierto que una nueva variante de ransomware de doble extorsión se dirige a los servidores VMware ESXi. El grupo detrás de esto, llamado Cicada3301, ha estado promoviendo su operación de ransomware como servicio desde junio.
Una vez que un atacante tiene acceso inicial a una red corporativa, puede copiar y cifrar sus datos privados utilizando el ransomware Cicada3301. Luego pueden retener la clave de descifrado y amenazar con exponer los datos en el sitio de filtración dedicado de Cicada3310 para obligar a la víctima a pagar un rescate.
El sitio de filtración de Cicada3301 ha incluido al menos 20 víctimas, predominantemente en América del Norte e Inglaterra, según Morphisec. Las empresas eran de todos los tamaños y provenían de diversas industrias, incluidas la manufactura, la atención médica, el comercio minorista y la hotelería.
La empresa de seguridad sueca Truesec se dio cuenta del grupo por primera vez cuando publicó en el foro de cibercrimen RAMP el 29 de junio en un intento de reclutar nuevos afiliados. Sin embargo, BleepingComputer dice que se enteró de los ataques de Cicada ya el 6 de junio.
Cómo funciona el ransomware
Los atacantes obtienen acceso mediante fuerza bruta o robando credenciales válidas e iniciando sesión de forma remota a través de ScreenConnect y ejecutando el ransomware.
Los comandos “esxcli” y “vim-cmd” de ESXi se ejecutan primero para apagar las máquinas virtuales y eliminar las instantáneas. Luego, el ransomware utiliza el cifrado ChaCha20 y una clave simétrica generada mediante el generador de números aleatorios “Osrng” para cifrar los archivos.
Todos los archivos de menos de 100 MB se cifran en su totalidad, mientras que se aplica un cifrado intermitente a los más grandes. La función de cifrado apunta a ciertas extensiones de archivos asociadas con documentos e imágenes, incluidos docx, xslx y pptx. Los investigadores de Truesec dicen que esto indica que el ransomware se usó originalmente para cifrar sistemas Windows antes de ser portado a hosts ESXi.
Se agregan extensiones aleatorias de siete caracteres a los nombres de los archivos cifrados que luego se utilizan para indicar sus respectivas notas de recuperación, almacenadas en la misma carpeta. Esta también es una técnica utilizada por el grupo líder de RaaS BlackCat/ALPHV.
El ransomware Cicada3301 permite al operador ejecutar una serie de parámetros personalizados que podrían ayudarle a evadir la detección. Por ejemplo, “suspensión” retrasa el cifrado una cantidad definida de segundos y “ui” proporciona datos en tiempo real sobre el proceso de cifrado, como la cantidad de archivos cifrados.
Cuando se completa el cifrado, la clave simétrica ChaCha20 se cifra con una clave RSA. Esto es necesario para descifrar las instrucciones de recuperación y los actores de la amenaza pueden entregarlas una vez que se haya realizado el pago.
El atacante también puede extraer los datos de la víctima y amenazar con publicarlos en el sitio de filtración Cicada3301 para obtener ventaja adicional.
VER: Operación masiva de ransomware dirigida a VMware ESXi: cómo protegerse de esta amenaza a la seguridad
Ciberatacantes que se hacen pasar por una organización real
El grupo de ransomware se hace pasar por una organización legítima llamada “Cicada 3301”, responsable de una famosa serie de juegos de criptografía. No existe conexión entre los dos, a pesar de que los actores de la amenaza han robado su logotipo y su marca.
VER: Hoja de referencia de ransomware para 2024
El proyecto de rompecabezas Cicada 3301 ha emitido un comunicado distanciándose del grupo RaaS, diciendo: “No conocemos la identidad de los criminales detrás de estos crímenes atroces y no estamos asociados con estos grupos de ninguna manera”.
Hay una serie de similitudes entre Cicada3301 y ALPHV/BlackCat que llevaron a los investigadores a creer que están conectados. Los servidores de ALPHV/BlackCat cayeron en marzo, por lo que sería viable que el nuevo grupo representara un cambio de marca o una escisión iniciada por algunos de sus miembros principales.
Cicada3301 también podría consistir en un grupo diferente de atacantes que simplemente compraron el código fuente de ALPHV/BlackCat después de que dejó de funcionar.
Además de ALPHV/BlackCat, el ransomware Cicada3301 se ha conectado a una botnet llamada “Brutus”. La dirección IP de un dispositivo para iniciar sesión en la red de una víctima a través de ScreenConnect está vinculada a “una amplia campaña de adivinación de contraseñas de varias soluciones VPN” por parte de Brutus, dice Truesec.
Cicada3310 podría ser un cambio de marca o un spin-off de ALPHV/BlackCat
ALPHV/BlackCat cesó sus operaciones después de un ciberataque mal ejecutado contra Change Healthcare en febrero. El grupo no pagó a un afiliado su porcentaje del rescate de 22 millones de dólares, por lo que el afiliado los expuso, lo que llevó a ALPHV a fingir una toma de control de las autoridades y apagar sus servidores.
VER: Sitio de ransomware BlackCat/ALPHV incautado en un esfuerzo internacional de eliminación
Cicada3301 podría representar un cambio de marca de ALPHV/BlackCat o un grupo derivado. También existen varias similitudes entre su ransomware, por ejemplo:
- Ambos están escritos en Rust.
- Ambos utilizan el algoritmo ChaCha20 para el cifrado.
- Ambos emplean comandos idénticos de apagado de VM y eliminación de instantáneas.
- Ambos utilizan los mismos parámetros de comando de la interfaz de usuario, la misma convención de nomenclatura de archivos y el mismo método de descifrado de notas de rescate.
- Ambos utilizan cifrado intermitente en archivos más grandes.
Además, las actividades de fuerza bruta de la botnet Brutus, que ahora se ha vinculado a Cicada3310, se detectaron por primera vez sólo dos semanas después de que ALPHV/BlackCat cerraran sus servidores en marzo.
VMware ESXi se está convirtiendo en un objetivo popular de ransomware
Truesec dijo que el ransomware Cicada 3310 se utiliza tanto en hosts Windows como Linux/VMware ESXi. VMware ESXi es un hipervisor básico que permite la creación y administración de máquinas virtuales directamente en el hardware del servidor, que puede incluir servidores críticos.
El entorno ESXi se ha convertido en el objetivo de muchos ataques cibernéticos últimamente y VMware ha estado proporcionando parches frenéticamente a medida que surgen nuevas vulnerabilidades. Poner en peligro el hipervisor puede permitir a los atacantes desactivar varias máquinas virtuales simultáneamente y eliminar opciones de recuperación como instantáneas o copias de seguridad, lo que garantiza un impacto significativo en las operaciones de una empresa.
Este enfoque pone de relieve el interés de los ciberatacantes por obtener un enorme beneficio al ejecutar el máximo daño en las redes corporativas.
