Windows y Linux vulnerables al ransomware Cicada3301, extrañamente familiar

Una pieza relativamente nueva de ransomware, llamada Cicada3301, ha sido analizada en detalle por investigadores de ciberseguridad, y los hallazgos revelan sorprendentes llamadas a ataques infames del pasado reciente. Cicada3301 es capaz de atacar sistemas basados en Linux y Windows.

Este nuevo malware guarda cierto parecido con BlackCat, el ransomware utilizado en el ataque de 2021 contra el Oleoducto Colonial. El factor único es que Cicada3301 utiliza un enfoque doble para hacer que las víctimas paguen; no sólo se cifran los archivos, sino que también se empaquetan y se filtran si no se efectúa el pago.

Cicada3301 fue detectado por primera vez en junio de 2024, cuando la primera filtración de los datos de una víctima apareció en el sitio dedicado creado por sus creadores. Más tarde acudieron a un foro ruso de la web oscura llamado RAMP con el objetivo de solicitar afiliados. Ofrecieron Cicada3301 como un servicio, ofreciéndose a atacar objetivos seleccionados a cambio de un precio. Este modelo, denominado ransomware-como-servicio, ha ganado popularidad entre los malos actores en los últimos años.

Las víctimas encontrarán que sus sistemas son en gran medida inmunes a los esfuerzos tradicionales utilizados para frenar ataques de ransomware gracias a una inteligente mezcla de tácticas incorporadas en Cicada3301. En su lugar, serán recibidos por un solitario archivo de texto que ofrece instrucciones para salvar sus archivos de la filtración. Según el archivo de texto, el grupo que está detrás de este ataque incluye una oferta para reforzar la seguridad de las víctimas con el fin de evitar ataques similares en el futuro, así como apoyo continuo, en caso de que la víctima decida pagar.

El sitio web y los recursos utilizados por el grupo detrás del ataque de 2021 fueron finalmente incautados por las autoridades estadounidenses. Se cree que el grupo ha cesado sus actividades, pero las similitudes de Cicada3301 con BlackCat y su nueva marca, ALHPV, son numerosas.

Cicada3301 está escrito en el lenguaje de programación Rust, lo que lo hace versátil, eficiente y extensible, pero esto podría considerarse como una mera continuación de la tendencia establecida por BlackCat; hasta ese ataque, el ransomware escrito en Rust era extremadamente infrecuente, y la mayoría de las veces era una mera prueba de concepto mostrada por hackers de sombrero blanco a través de la web.

Más allá de utilizar el mismo lenguaje de programación y la misma estructura general de ataque, Cicada3301 emplea métodos de descifrado similares, y muchos comandos escritos en el nuevo malware son exactamente iguales a las llamadas a funciones encontradas en BlackCat. En ambos ataques, se obtienen credenciales de usuario legítimas a través de cualquier medio disponible, a menudo ingeniería social, y se utilizan para obtener acceso al sistema objetivo.

A partir de ahí, ambos ataques utilizan llamadas casi idénticas para hacer cosas como llamar a casa, cifrar y descifrar archivos, mostrar mensajes y mucho más. Cicada3301 viene, sin embargo, con algunos trucos nuevos. El principal de ellos es la capacidad de impedir que máquinas externas, incluidas las virtuales, accedan a los archivos y sistemas cifrados.

En septiembre de 2024, todos los recursos vinculados a Cicada3301 siguen aparentemente activos, y no se ha informado de que ningún malhechor relacionado con él haya dimitido o haya sido detenido. Es posible que el nuevo ransomware sea la creación de uno o más miembros del equipo de los ataques de BlackCat, o de un grupo rival que copió gran parte del código de BlackCat antes de que se oscureciera.