O que é ransomware Cigarra?
Cicada (também conhecido como Cicada3301) é um ransomware sofisticado escrito em Rust que já fez mais de 20 vítimas desde que foi descoberto em junho de 2024.
Por que o ransomware é chamado de Cicada?
Os hackers por trás do Cicada parecem tê-lo batizado em homenagem ao misterioso quebra-cabeça Cicada 3301 postado online entre 2012 e 2014, que parece estar à procura de pessoas superinteligentes.
É claro que não há razão para acreditar que o ransomware esteja de alguma forma relacionado aos mistérios misteriosos que apareceram uma década antes dele – exceto no nome.
É compreensível. Quais empresas são atingidas pela Cicada?
De acordo com um blog escrito por pesquisadores de segurança da Morphisec, pelo menos 21 empresas, principalmente na América do Norte e no Reino Unido, foram atingidas pelo Cicada desde 18 de junho de 2024.
A maioria das organizações afectadas eram pequenas e médias empresas (18), enquanto as restantes três foram descritas como empresas. As vítimas foram identificadas em vários setores da indústria, incluindo manufatura/industrial, saúde, varejo e hotelaria.
As organizações atingidas pelo ransomware Cicada são recebidas com uma mensagem informando que os invasores baixaram seus dados valiosos e que os arquivos na rede da empresa foram criptografados.
A mensagem contínua diz que a gangue está pronta para fornecer “prova de que os dados foram roubados” e excluirá todas as informações roubadas e “ajudará você a reconstruir sua infraestrutura e evitar ataques semelhantes no futuro” se um pagamento com criptomoeda for feito.
E acho que vão publicar os dados se você não pagar?
Sim, a gangue Cicada afirma que se o resgate não for pago em dia, os dados roubados serão publicados em seu blog. Mas também afirmam que os dados serão enviados “a todas as autoridades reguladoras do seu país, bem como aos seus clientes, parceiros e concorrentes”.
Isso é uma ameaça séria. Sabemos quem está por trás do Cicada?
Embora não saibamos quem está envolvido, os pesquisadores de segurança dizem que há semelhanças impressionantes entre o Cicada e o ransomware ALPHV BlackCat ALPHV – também escrito em Rust.
Embora não haja evidências claras, as semelhanças entre a Cicada e o BlackCat, incluindo o uso de Rusy, estratégias de fuga e tempo, sugerem uma possível conexão.
Ele mencionou Rust algumas vezes. O que é aquilo?
Rust é uma linguagem de programação que se tornou popular entre os desenvolvedores de ransomware nos últimos anos. Em particular, grupos de ransomware como BlackCat e Hive usaram Rust para criar diferentes tipos de malware – em parte porque torna a engenharia reversa complicada e devido à dificuldade que outros programas de detecção de malware têm em detectar de forma confiável ransomware baseado em Rust usando análise estática.
Achei que as autoridades haviam tomado medidas para interromper o ransomware ALPHV BlackCat.
Você se lembra bem. Em dezembro de 2013, o Departamento de Justiça dos EUA anunciou que havia interrompido a operação de uma gangue de ransomware e apreendido chaves de descriptografia para ajudar as vítimas a desbloquear seus dados sem pagar resgate.
No entanto, essa vitória durou pouco. O ALPHV BlackCat ressurgiu, ameaçou retaliar os países que ajudaram a desmantelá-lo e alertou abertamente que atacaria hospitais no futuro.
Não parece um bom público.
Isso é para dizer o mínimo.
O que posso fazer para reduzir o risco do Cicada e de outras ameaças de ransomware atacarem minha organização?
- Mantenha seu software de segurança atualizado.
- Eduque seus funcionários sobre phishing por e-mail e outras técnicas de engenharia social.
- Implemente procedimentos robustos de backup e recuperação.
- Monitore sua localização em busca de atividades suspeitas.
- Considere usar recursos de caça a ameaças para identificar e mitigar ameaças.
Algumas práticas recomendadas incluem a criação de senhas fortes e exclusivas e a manutenção do software atualizado. Também é recomendado que você relate ataques de ransomware à CISA, ao escritório local do FBI ou ao escritório de campo do Serviço Secreto.
Nota do editor: As opiniões expressas neste artigo do autor convidado são exclusivamente do colaborador e não refletem necessariamente as da Tripwire.
