O grupo de ransomware Cicada3301 surgiu em junho de 2024, rapidamente se estabelecendo como uma das principais ameaças no cenário cibernético. Com ataques direcionados a sistemas Windows, Linux e ESXi, o grupo utiliza técnicas de criptografia avançadas para comprometer seus alvos. Sua notoriedade cresceu ao listar diversas vítimas em seu site de vazamento de dados, sinalizando sua eficiência e alcance.
Ransomware em Rust: uma nova tendência?
O Cicada3301 se destaca por empregar ransomware desenvolvido em Rust, uma linguagem conhecida por sua segurança e desempenho. Embora poucos grupos tenham adotado essa abordagem, o Cicada3301 segue o caminho de outras ameaças como o BlackCat/ALPHV, que também utilizaram Rust em suas campanhas. O ransomware, especificamente compilado na versão 1.79.0 do Rust, possui características únicas, como a presença de referências ao sistema de compilação Cargo.
Funcionalidades e parâmetros do ransomware
O ransomware do Cicada3301, focado em sistemas Linux/ESXi, possui uma função principal chamada linux_enc, destinada à criptografia de dados. Para personalizar seu comportamento, ele aceita diversos parâmetros:
- parâmetro ui: exibe uma interface gráfica com o progresso e estatísticas da criptografia.
- parâmetro no_vm_ss: criptografa arquivos sem desligar máquinas virtuais, utilizando comandos ESXi para deletar snapshots.
- parâmetro key: fundamental para a execução; sem uma chave válida, o ransomware não é ativado.
Para garantir a segurança da chave de criptografia, o ransomware gera uma chave simétrica usando o gerador de números aleatórios OsRng, criptografa os arquivos com ChaCha20 e, em seguida, protege a chave ChaCha20 com RSA. O aviso de ransomware é gerado em cada diretório criptografado, utilizando a convenção de nomeação “RECOVER-[extensão]-DATA.txt”.
Notícias Relacionadas
Ataque crescente
Nova variante do ransomware 'Helldown' atinge sistemas VMware e Linux
A variante Helldown, que já afeta sistemas Windows, agora também atinge ambientes VMware e Linux, ampliando seu impacto. Pesquisas indicam que os atacantes podem estar evoluindo suas estratégias.
Abuso digital
Como playlists e podcasts do Spotify estão sendo usados para promover software pirata e fraudes
Spotify está sendo explorado para promover software pirata, cheats de jogos e links fraudulentos, usando playlists e podcasts para melhorar o SEO de sites duvidosos.
Vetores de ataque e operação do Cicada3301
O vetor inicial de ataque do Cicada3301 envolve o uso de credenciais válidas, geralmente obtidas por meio de força bruta ou roubo, para acessar sistemas utilizando ferramentas como o ScreenConnect. Essas credenciais comprometidas são a porta de entrada para que o grupo possa implementar seu ransomware nos sistemas-alvo.
Há indícios de que o endereço IP associado a essas atividades esteja vinculado ao botnet Brutus, conhecido por campanhas de adivinhação de senhas. Essa ligação sugere que o Cicada3301 pode ser uma reencarnação do grupo BlackCat/ALPHV, ou ao menos compartilhar recursos ou desenvolvedores com ele.
Mitigando os riscos de ataques ransomware
Dado o avanço das técnicas de criptografia utilizadas pelo Cicada3301 e sua capacidade de atingir múltiplos sistemas operacionais, as organizações precisam reforçar suas medidas de cibersegurança. Ações recomendadas incluem backups regulares de dados, segmentação de redes e treinamento contínuo de funcionários para reconhecer e evitar ameaças de ransomware.
Considerações finais
O Cicada3301 representa uma nova e perigosa ameaça no cenário de segurança cibernética. Sua operação como uma plataforma de ransomware-as-a-service, combinada com o uso de Rust e técnicas sofisticadas, exige atenção redobrada de empresas e indivíduos. A proteção contra este tipo de ataque passa por uma postura preventiva e bem informada, capaz de mitigar os impactos potenciais.
