Pesquisadores de segurança cibernética descobriram mais informações sobre um nascente ransomware como serviço (RaaS) chamado. Cigarra3301 depois de acessar com sucesso o painel do grupo da embaixada da dark web.
O Group-IB, com sede em Cingapura, disse que contatou o ator por trás da persona Cicada3301 no fórum de crimes cibernéticos RAMP por meio do serviço de mensagens Tox depois que o ator postou um anúncio, pedindo novos parceiros em seu programa de adesão.
“No painel de afiliados do grupo de ransomware Cicada3301, ele contém seções como Painel, Notícias, Empresas, Empresas de bate-papo, Suporte por bate-papo, Conta, seção de perguntas frequentes e Logout”, dizem os pesquisadores -Nikolay Kichatov e Sharmine Low dizem novo. análise publicada hoje.
Cicada3301 apareceu pela primeira vez em junho de 2024, a comunidade de segurança cibernética revelou fortes semelhanças de código-fonte com o agora extinto grupo de ransomware BlackCat. Estima-se que o sistema RaaS tenha comprometido nada menos que 30 organizações em setores críticos, a maioria das quais localizadas nos EUA e no Reino Unido.
O ransomware baseado em Rust é multiplataforma, permitindo que seus invasores atinjam dispositivos que executam Windows, distribuições Linux Ubuntu, Debian, CentOS, Rocky Linux, Scientific Linux, SUSE, Fedora, ESXi, NAS, PowerPC, PowerPC64 e PowerPC64LE.
Assim como outros tipos de ransomware, um ataque envolvendo o Cicada3301 tem a capacidade de criptografar arquivos total ou parcialmente, mas não antes de desligar máquinas virtuais, impedir a recuperação do sistema, interromper processos e serviços e remover cópias de sombra. Também é capaz de criptografar compartilhamentos de rede com grande efeito.
“O Cicada3301 opera um sistema integrado para recrutamento de pentesters (pentesters) e corretores de acesso, oferecendo comissão de 20%, e oferece um painel baseado na web com muitos recursos para afiliados”, observaram os pesquisadores.
Um resumo das diferentes categorias é o seguinte:
- Painel – Uma visão geral dos logins bem-sucedidos ou malsucedidos do afiliado e do número de empresas atacadas
- Notícias – Informações sobre atualizações de produtos e novidades do programa ransomware Cicada3301
- Empresas – Oferece opções para adicionar vítimas (ou seja, nome da empresa, valor do resgate exigido, data de validade do desconto, etc.) e criar versões do ransomware Cicada3301
- Empresas de bate-papo – Interface para comunicação e discussão com as vítimas
- Para apoiar a discussão – Comunicação com colegas para se comunicar com representantes do grupo de ransomware Cicada3301 para resolver problemas
- Conta – Uma seção dedicada ao gerenciamento da conta gerenciada e à redefinição de sua senha
- Perguntas frequentes – Fornece informações sobre regras e diretrizes para criação de vítimas na seção “Empresas”, modificação do construtor e etapas para usar ransomware em diferentes sistemas operacionais.
“O grupo de ransomware Cicada3301 rapidamente se estabeleceu como uma grande ameaça no espaço de ransomware, devido à sua funcionalidade sofisticada e ferramentas avançadas”, disseram os pesquisadores.
“Usando criptografia ChaCha20 + RSA e oferecendo o painel personalizável correspondente, Cicada3301 permite que seus agentes ataquem os mais direcionados. Seu método de extração de dados antes da criptografia adiciona uma camada adicional de pressão às vítimas, enquanto a capacidade de parar máquinas virtuais aumenta o impacto de seus ataques “.
