Investigadores han revelado la existencia de un nuevo grupo de ransomware llamado Cyclops. Este grupo se destaca por desarrollar ransomware capaz de infectar tres plataformas principales: Windows, Linux y macOS. Además, ofrecen servicios de ransomware bajo el modelo conocido como Ransomware-as-a-Service (RaaS).
Te podría interesar leer: Ransomware as a Service: Una Amenaza Alarmante
Junto con el servicio de ransomware, el grupo también ha compartido un binario adicional diseñado para robar datos confidenciales, incluyendo nombres de las computadoras infectadas y diversos procesos.
Cyclops promueve activamente sus servicios en foros de hackers y busca obtener una parte de las ganancias generadas por los usuarios que utilizan su malware.
Actor de amenazas anuncia Cyclops Ransomware en un foro de hackers
Cyclops ofrece un panel dedicado para distribuir su ransomware en sistemas operativos Windows, Linux y MacOS. Este panel cuenta con binarios separados para el componente adicional de robo de datos, específicamente dirigido a Linux y Windows.
El robo de datos en Windows extrae información del sistema y crea archivos zip protegidos con contraseña que contienen archivos específicos.
El robo de datos en Linux realiza una función similar, creando archivos zip protegidos con contraseña en el directorio /tmp.
El sitio web funciona de manera similar a una institución financiera. Cuenta con una sección financiera que permite a los atacantes de Cyclops retirar los pagos de rescate que reciben. Los desarrolladores de Cyclops abordan activamente cualquier problema que surja en esta plataforma y recompensan los valiosos comentarios.
Los investigadores de Uptycs analizaron los binarios del ransomware Cyclops y descubrieron un binario constructor y un archivo .txt de lectura en el archivo de almacenamiento extraído.
El actor de amenazas proporcionó un ID de constructor para crear una carga útil de ransomware llamada locker[.]exe, diseñada para infectar máquinas locales y en red. El archivo de texto adjunto contiene instrucciones para ejecutar la carga útil con y sin argumentos de línea de comandos, como se muestra a continuación:
La carga útil del ransomware Cyclops escanea e identifica los procesos en ejecución en la máquina de la víctima, finalizando cualquier proceso que pueda interferir con el cifrado de los archivos objetivo.
Los investigadores descubrieron que utilizando la API GetLogicalDriveStrings, la carga útil obtiene información sobre las unidades lógicas en el sistema y luego enumera las carpetas, dejando un archivo de nota de rescate llamado "Cómo restaurar sus archivos.txt" en el disco.
Antes de cifrar un archivo, la carga útil verifica si su extensión coincide con una lista predefinida. En caso contrario, el archivo se cifra y se le asigna la extensión .CYCLOPS.
El atacante recopila información sobre las instantáneas en el sistema de la víctima, incluyendo sus identificadores, tiempos de creación y nombres de volúmenes. Luego, utilizando un identificador específico, la carga útil elimina una instantánea seleccionada ejecutando un comando a través de la utilidad de línea de comandos Windows Management Instrumentation.
La nota de rescate de Cyclops proporciona instrucciones para que la víctima visite un sitio Onion, donde podría haber una oportunidad de recuperar sus archivos cifrados.
La versión de Linux está compilada en Golang y utiliza CGO con integración en C. El archivo binario está despojado de nombres de funciones para dificultar la ingeniería inversa.
Cifra archivos con extensiones específicas, excluyendo archivos en ciertos directorios. Se coloca una nota de rescate en cada carpeta cifrada y se genera un informe estadístico.
El proceso de cifrado implica una combinación de cifrado asimétrico y simétrico, utilizando algoritmos como ECDH en Curve25519, SHA512 y ChaCha.
La variante de macOS es un binario mach-O compilado utilizando Golang. Proporciona opciones para el cifrado de archivos y coloca los archivos cifrados en una carpeta específica junto con una nota de rescate adjunta.
El ransomware Cyclops comparte similitudes con los ransomware Babuk y LockBit en términos de algoritmos de cifrado y técnicas de ofuscación de cadenas.
Tanto Cyclops como Babuk ransomware utilizan Curve25519 y HC-256 para el cifrado en sistemas Windows. Además, ambos ransomware emplean una combinación de algoritmos Curve25519 y ChaCha.
En el caso del ransomware Cyclops, las cadenas ejecutables son codificadas y almacenadas como cadenas de pila. Estas cadenas codificadas se decodifican de manera dinámica durante la ejecución utilizando diversas operaciones computacionales, como suma, resta, desplazamiento, XOR, entre otras. Se ha observado un enfoque similar de codificación en el ransomware LockBit 2.0.
El módulo de gestión de amenazas e indicadores de compromiso (IoC) de TecnetOne brinda ayuda a las empresas en la administración de sus fuentes de inteligencia de amenazas y los indicadores de compromiso. Esto permite a las organizaciones identificar y responder de manera eficaz a las amenazas cibernéticas, incluyendo el ransomware como Cyclops y LockBit 2.0.
El módulo de seguimiento de actores de amenazas de TecnetOne ofrece a las empresas una visión completa de las amenazas tanto conocidos como emergentes, incluyendo sus TTP (Tácticas, Técnicas y Procedimientos), IOC (Indicadores de Compromiso) e infraestructura. Esta valiosa información se puede utilizar para identificar y responder de manera más ágil y efectiva a las amenazas.
¡Descubre cómo TecnetOne te ayuda a salvaguardar tus datos con el ciberpatrullaje!