---

---

Especialistas de Truesec hablaron sobre un nuevo grupo cibercriminal, Cicada3301, que, operando bajo el modelo RaaS (Ransomware As A Service) ya ha atacado a 19 víctimas en todo el mundo y ha desconcertado a los investigadores de seguridad.

El nombre Cicada3301 proviene de un famoso juego en línea de 2012-2014 que presentaba complejos acertijos criptográficos. Sin embargo, el proyecto original no tiene nada que ver con el nuevo grupo cibercriminal y condena categóricamente sus acciones.

Los ciberataques de Cicada3301 se registraron por primera vez el 6 de junio, aunque el anuncio oficial de la operación no apareció hasta el 29 de junio en el foro RAMP. Esto indica que el grupo actuó de forma independiente antes de atraer socios.

Al igual que otras operaciones de ransomware, Cicada3301 utiliza tácticas de doble extorsión. Primero, los atacantes penetran en las redes corporativas, roban datos y luego cifran los dispositivos. Las claves de cifrado y las amenazas de fuga de datos se utilizan como medio para presionar a las víctimas para que paguen rescates.

Truesec identificó similitudes significativas entre Cicada3301 y ALPHV/BlackCat. Los expertos especulan que Cicada3301 puede ser una versión renombrada de ALPHV o un derivado creado por antiguos miembros del grupo. Ambos ransomware están escritos en Rust, utilizan el algoritmo ChaCha20 para el cifrado y utilizan los mismos comandos para apagar máquinas virtuales y eliminar imágenes, así como un formato de nombre de archivo común con instrucciones de recuperación de datos.

Cicada3301 utilizó credenciales comprometidas para el ataque inicial, llevado a cabo a través del programa de acceso remoto ScreenConnect. Truesec también descubrió que la dirección IP utilizada en el ataque está asociada con la botnet Brutus, que se ha visto anteriormente en ataques a gran escala a dispositivos VPN como Cisco, Fortinet, Palo Alto y SonicWall. El momento de la actividad de Brutus coincide con el cese de la actividad de ALPHV , lo que refuerza las especulaciones sobre una conexión entre los dos grupos.

Cicada3301 presta especial atención a los ataques a entornos VMware ESXi, como lo confirma el análisis de un ransomware para Linux/VMware ESXi, que requiere la introducción de una clave especial para comenzar la operación. La función principal del ransomware utiliza el cifrado de flujo ChaCha20 para cifrar archivos y luego cifra la clave simétrica mediante RSA. En este caso, los atacantes atacan archivos de determinadas extensiones y utilizan cifrado intermedio para archivos grandes.

Cicada3301 también utiliza técnicas que dificultan la recuperación de datos después de un ataque. Por ejemplo, el ransomware puede cifrar máquinas virtuales VMware ESXi sin apagarlas primero, lo que complica el proceso de recuperación de un ataque.

Es posible que Cicada3301 sea una degeneración del grupo BlackCat o el resultado de su colaboración con la botnet Brutus para obtener acceso a las víctimas. También es posible otra versión, según la cual el código ALPHV fue comprado y adaptado por otros ciberdelincuentes, ya que en un momento BlackCat anunció la venta del código fuente de su ransomware por 5 millones de dólares.

Todos los hechos indican que Cicada3301 está dirigido por ciberdelincuentes experimentados que saben lo que hacen. Sus exitosos ataques a empresas y los graves daños que causan a las redes corporativas indican que este grupo representa una amenaza importante para los negocios. El enfoque de Cicada3301 en los entornos VMware ESXi resalta su enfoque estratégico para maximizar el daño y sacar provecho del rescate.

Y si necesitáis una auditoría de ciberseguridad y podemos seros útiles, estamos a vuestra disposición en nuestro correo [email protected]