Ataque Ransomware

Ataque de ransomware Cicada3301 atinge sistemas Windows, Linux e ESXi

O grupo de ransomware Cicada3301, surgido em 2024, está atacando sistemas Windows, Linux e ESXi. Usando técnicas de criptografia avançadas e operando como uma plataforma de ransomware-as-a-service, ele representa uma ameaça crescente.

Emanuel Negromonte

02/09/2024 18:33

O grupo de ransomware Cicada3301 surgiu em junho de 2024, rapidamente se estabelecendo como uma das principais ameaças no cenário cibernético. Com ataques direcionados a sistemas Windows, Linux e ESXi, o grupo utiliza técnicas de criptografia avançadas para comprometer seus alvos. Sua notoriedade cresceu ao listar diversas vítimas em seu site de vazamento de dados, sinalizando sua eficiência e alcance.

Ransomware em Rust: uma nova tendência?

O Cicada3301 se destaca por empregar ransomware desenvolvido em Rust, uma linguagem conhecida por sua segurança e desempenho. Embora poucos grupos tenham adotado essa abordagem, o Cicada3301 segue o caminho de outras ameaças como o BlackCat/ALPHV, que também utilizaram Rust em suas campanhas. O ransomware, especificamente compilado na versão 1.79.0 do Rust, possui características únicas, como a presença de referências ao sistema de compilação Cargo.

Funcionalidades e parâmetros do ransomware

O ransomware do Cicada3301, focado em sistemas Linux/ESXi, possui uma função principal chamada linux_enc, destinada à criptografia de dados. Para personalizar seu comportamento, ele aceita diversos parâmetros:

parâmetro ui: exibe uma interface gráfica com o progresso e estatísticas da criptografia.
parâmetro no_vm_ss: criptografa arquivos sem desligar máquinas virtuais, utilizando comandos ESXi para deletar snapshots.
parâmetro key: fundamental para a execução; sem uma chave válida, o ransomware não é ativado.

Para garantir a segurança da chave de criptografia, o ransomware gera uma chave simétrica usando o gerador de números aleatórios OsRng, criptografa os arquivos com ChaCha20 e, em seguida, protege a chave ChaCha20 com RSA. O aviso de ransomware é gerado em cada diretório criptografado, utilizando a convenção de nomeação “RECOVER-[extensão]-DATA.txt”.

Vetores de ataque e operação do Cicada3301

O vetor inicial de ataque do Cicada3301 envolve o uso de credenciais válidas, geralmente obtidas por meio de força bruta ou roubo, para acessar sistemas utilizando ferramentas como o ScreenConnect. Essas credenciais comprometidas são a porta de entrada para que o grupo possa implementar seu ransomware nos sistemas-alvo.

Há indícios de que o endereço IP associado a essas atividades esteja vinculado ao botnet Brutus, conhecido por campanhas de adivinhação de senhas. Essa ligação sugere que o Cicada3301 pode ser uma reencarnação do grupo BlackCat/ALPHV, ou ao menos compartilhar recursos ou desenvolvedores com ele.

Mitigando os riscos de ataques ransomware

Dado o avanço das técnicas de criptografia utilizadas pelo Cicada3301 e sua capacidade de atingir múltiplos sistemas operacionais, as organizações precisam reforçar suas medidas de cibersegurança. Ações recomendadas incluem backups regulares de dados, segmentação de redes e treinamento contínuo de funcionários para reconhecer e evitar ameaças de ransomware.

Considerações finais

O Cicada3301 representa uma nova e perigosa ameaça no cenário de segurança cibernética. Sua operação como uma plataforma de ransomware-as-a-service, combinada com o uso de Rust e técnicas sofisticadas, exige atenção redobrada de empresas e indivíduos. A proteção contra este tipo de ataque passa por uma postura preventiva e bem informada, capaz de mitigar os impactos potenciais.

Assuntos

Mais Notícias

Mais artigos

Quishing

Quishing: um ataque de phishing usando códigos QR!

Você deve estar acostumado com o termo phishing, golpe que usa e-mails, por exemplo, para fazer suas vítimas. O Quishing é um tipo de ataque de phishing em que criminosos usam códigos QR para induzir os usuários a fornecer informações confidenciais ou baixar malware. Ataques de Quishing Nos últimos anos, a disseminação de carros elétricos […]

Ransomware emergente

Cicada3301: ameaça emergente ou rebranding do Alphv/BlackCat?

O Cicada3301, um novo ransomware, tem várias semelhanças com o Alphv/BlackCat, levando a suspeitas de que seja um rebranding. Saiba mais sobre as táticas e diferenças entre esses grupos.

Styx Stealer

Desmascarando o Styx Stealer: como um erro de hacker levou a um tesouro de inteligência

Nossa equipe de especialistas da Check Point Research (CPR) descobriu recentemente o Styx Stealer, um novo malware capaz de roubar dados de navegadores, sessões de mensageiros instantâneos do Telegram e Discord e criptomoedas. Embora tenha surgido pouco tempo atrás, já foi identificado em ataques, incluindo aqueles direcionados a diversas empresas e setores. O desenvolvedor do […]

Dsistribuição de Malware

Comentários do GitHub são usados para espalhar malware!

O GitHub está sendo usado para distribuir o malware Lumma Stealer. Esse malware rouba informações, como correções falsas postadas nos comentários do projeto e está sendo espalhado na plataforma. Malware sendo espalhado em comentários do GitHub A campanha foi relatada pela primeira vez por um colaborador da biblioteca teloxide rust (Via: Bleeping Computer), que observou […]

Imagem de abelha represnetando ransomware

Ransomware Linux

Ransomware Cicada3301 para Linux tem como alvo os sistemas VMware ESXi

Uma nova operação de ransomware Linux como serviço (RaaS) chamada Cicada3301 já listou 19 vítimas em seu portal de extorsão, tendo como alvo os sistemas VMware ESXi. A operação está mirando em ataques a empresas no mundo todo. Ransomware Linux Cicada3301 A nova operação de crimes cibernéticos recebeu o nome do misterioso jogo online/real de […]

Nova ameaça cibernética

Criminosos disfarçam Malware como ferramentas de IA nas redes sociais

Pesquisadores da Trend Micro alertam sobre uma campanha de malvertising que utiliza ferramentas de IA para disseminar malware nas redes sociais. Saiba como se proteger dessa nova ameaça.