Una nueva operación de ransomware como servicio (RaaS) está haciéndose pasar por la conocida organización Cicada 3301 y ya ha afectado a 19 víctimas, las cuales aparecen listadas en su portal de extorsión. Este grupo está atacando empresas a nivel mundial a un ritmo alarmante.
La operación de ransomware ha adoptado tanto el nombre como el logotipo de Cicada 3301, el famoso juego en línea y del mundo real de 2012-2014 que desafiaba a los participantes con intrincados acertijos criptográficos. Sin embargo, es importante señalar que no hay ninguna conexión entre esta operación cibercriminal y el proyecto original. De hecho, Cicada 3301 ha emitido un comunicado desvinculándose por completo de estos atacantes y condenando firmemente sus acciones.
"No conocemos la identidad de los criminales detrás de estos atroces crímenes y no estamos asociados con estos grupos de ninguna manera", aclaró la organización Cicada 3301 en su declaración oficial.
El nuevo grupo de ransomware Cicada3301 comenzó a promocionarse y a buscar afiliados el 29 de junio de 2024, a través de una publicación en el foro de ransomware y ciberdelitos conocido como RAMP. Sin embargo, se han registrado ataques atribuidos a Cicada desde el 6 de junio, lo que sugiere que el grupo ya estaba operando por su cuenta antes de empezar a reclutar colaboradores.
Cicada3301 sigue una estrategia de doble extorsión, similar a otras operaciones de ransomware. Primero, el grupo se infiltra en las redes corporativas, roba información confidencial y luego cifra los dispositivos afectados. Posteriormente, utilizan la clave de descifrado y la amenaza de hacer públicos los datos robados para presionar a las víctimas y obligarlas a pagar un rescate.
Como parte de esta estrategia, los atacantes gestionan un sitio web donde publican los datos filtrados, lo que añade más presión sobre las víctimas para que cumplan con sus demandas.
Un análisis reciente del nuevo malware muestra similitudes notables entre Cicada3301 y ALPHV/BlackCat, lo que sugiere que podría tratarse de un cambio de marca o una bifurcación creada por antiguos miembros del equipo de ALPHV.
Estas similitudes incluyen:
Para dar un poco de contexto, ALPHV estuvo involucrado en una estafa a principios de marzo de 2024, simulando un desmantelamiento por parte del FBI después de robar $22 millones de una afiliada de Change Healthcare.
Además, hay indicios de que la operación de ransomware Cicada3301 podría estar relacionada con la botnet Brutus o usarla para obtener acceso inicial a redes corporativas. Esta botnet ha estado implicada anteriormente en ataques de fuerza bruta a dispositivos VPN de Cisco, Fortinet, Palo Alto y SonicWall a nivel global.
Conoce más sobre: BlackCat Ransomware Roba $22M y Apaga Servidores
Cicada3301 apunta tanto a sistemas Windows como a Linux/VMware ESXi. Un análisis reciente del cifrador de Linux para VMware ESXi muestra que este ransomware comparte varias características con familias conocidas como BlackCat y RansomHub.
Al igual que en estos otros ataques, el cifrador de Cicada3301 requiere una clave especial para arrancar. Esta clave se ingresa como un argumento de línea de comandos y se utiliza para descifrar un archivo JSON que contiene la configuración necesaria para proceder con el cifrado del dispositivo.
El proceso comienza verificando la validez de la clave, utilizándola para descifrar la nota de rescate. Si la clave es válida, el cifrador continúa con su tarea de cifrar los archivos. Su función principal, conocida como linux_enc, utiliza el cifrador de flujo ChaCha20 para asegurar los archivos, y luego protege la clave simétrica generada aleatoriamente mediante una clave RSA.
Cicada3301 está diseñado para buscar archivos con extensiones específicas, principalmente documentos y archivos multimedia. Además, ajusta su método de cifrado según el tamaño del archivo: aplica un cifrado intermitente para archivos de más de 100 MB y cifra completamente aquellos de menos de 100 MB.
Una vez que los archivos son cifrados, el ransomware les añade una extensión aleatoria de siete caracteres y deja notas de rescate con el nombre 'RECOVER-[extensión]-DATA.txt'. Curiosamente, este patrón es similar al utilizado por BlackCat/ALPHV, que también usaba extensiones aleatorias de siete caracteres y una nota de rescate llamada 'RECOVER-[extensión]-FILES.txt'.
Conoce más sobre: Evita el Pago de Ransomware: Riesgos del Rescate
Las actividades y el éxito de Cicada3301 sugieren que estamos ante un grupo de delincuentes cibernéticos con experiencia, lo que refuerza la teoría de que podría tratarse de una evolución de ALPHV o, al menos, de un grupo que cuenta con afiliados familiarizados con el ransomware.
El hecho de que este nuevo ransomware esté tan enfocado en los entornos ESXi demuestra una estrategia cuidadosamente diseñada para causar el máximo daño en infraestructuras empresariales, un objetivo cada vez más común entre los atacantes en busca de grandes ganancias.
Al combinar el cifrado de archivos con la capacidad de interrumpir las operaciones de máquinas virtuales y eliminar opciones de recuperación, Cicada3301 logra realizar ataques de alto impacto que pueden paralizar redes e infraestructuras enteras, aumentando considerablemente la presión sobre las víctimas para que paguen el rescate.
Podría interesarte: ¿Cómo puede un SOC detectar y prevenir ataques cibernéticos?
Protegerse contra el ransomware, especialmente variantes sofisticadas como Cicada3301, no es tarea fácil. Requiere un enfoque integral que combine medidas preventivas, detección temprana y una respuesta rápida y eficaz.
1. Mantén Todo el Software Actualizado: Los atacantes suelen aprovechar vulnerabilidades conocidas en el software para lanzar sus ataques. Por eso, es fundamental que mantener siempre los software actualizados con los últimos parches de seguridad. Esto reducirá significativamente los puntos de entrada para posibles ataques.
2. Implementa la Autenticación Multifactor (MFA): Añadir una capa adicional de seguridad con la autenticación multifactor es una de las mejores maneras de proteger tus sistemas. Requiriendo que los usuarios proporcionen más de una forma de autenticación, reduces drásticamente el riesgo de accesos no autorizados.
3. Segmenta Tu Red: Dividir tu red en subredes más pequeñas, cada una con su propio nivel de seguridad, puede ayudarte a contener un ataque. Esta segmentación evita que los cibercriminales se muevan libremente por la red, limitando el daño potencial.
4. Realiza Copias de Seguridad Regularmente: Contar con copias de seguridad actualizadas y almacenadas en ubicaciones seguras es una de las defensas más efectivas contra el ransomware. Es vital que estas copias no sean accesibles desde la red principal, para que no corran el riesgo de ser cifradas en caso de un ataque.
5. Monitorea y Detecta Actividades Sospechosas: El monitoreo constante de tu red y sistemas es esencial para identificar actividades inusuales que puedan indicar un ataque en curso. Herramientas como los Sistemas de Detección de Intrusos (IDS) pueden alertar a los administradores sobre comportamientos anómalos, permitiéndote tomar medidas antes de que sea demasiado tarde.
6. Capacita a Tu Personal: Muchas infecciones de ransomware empiezan con un simple error humano, como hacer clic en un enlace malicioso en un correo electrónico. Proporcionar capacitación regular en seguridad a tus trabajadores puede reducir considerablemente el riesgo de que estas amenazas logren infiltrarse en tu sistema.
Además de seguir estas prácticas, es fundamental contar con soluciones como TecnetProtect, que ofrece lo mejor de ambos mundos: seguridad cibernética avanzada y copias de seguridad fiables. Con TecnetProtect, no solo puedes anticiparte y detectar ataques de ransomware, sino que también tienes la tranquilidad de saber que tus datos están respaldados de manera segura, lo que te permite recuperarlos fácilmente en caso de cualquier incidente. Esta solución integral te proporciona las herramientas necesarias para proteger tu infraestructura de TI y reducir al mínimo el impacto de posibles amenazas.