Ataque Ransomware

Ataque de ransomware Cicada3301 atinge sistemas Windows, Linux e ESXi

O grupo de ransomware Cicada3301, surgido em 2024, está atacando sistemas Windows, Linux e ESXi. Usando técnicas de criptografia avançadas e operando como uma plataforma de ransomware-as-a-service, ele representa uma ameaça crescente.

ataque de ransomware

O grupo de ransomware Cicada3301 surgiu em junho de 2024, rapidamente se estabelecendo como uma das principais ameaças no cenário cibernético. Com ataques direcionados a sistemas Windows, Linux e ESXi, o grupo utiliza técnicas de criptografia avançadas para comprometer seus alvos. Sua notoriedade cresceu ao listar diversas vítimas em seu site de vazamento de dados, sinalizando sua eficiência e alcance.

Ransomware em Rust: uma nova tendência?

O Cicada3301 se destaca por empregar ransomware desenvolvido em Rust, uma linguagem conhecida por sua segurança e desempenho. Embora poucos grupos tenham adotado essa abordagem, o Cicada3301 segue o caminho de outras ameaças como o BlackCat/ALPHV, que também utilizaram Rust em suas campanhas. O ransomware, especificamente compilado na versão 1.79.0 do Rust, possui características únicas, como a presença de referências ao sistema de compilação Cargo.

Funcionalidades e parâmetros do ransomware

O ransomware do Cicada3301, focado em sistemas Linux/ESXi, possui uma função principal chamada linux_enc, destinada à criptografia de dados. Para personalizar seu comportamento, ele aceita diversos parâmetros:

  • parâmetro ui: exibe uma interface gráfica com o progresso e estatísticas da criptografia.
  • parâmetro no_vm_ss: criptografa arquivos sem desligar máquinas virtuais, utilizando comandos ESXi para deletar snapshots.
  • parâmetro key: fundamental para a execução; sem uma chave válida, o ransomware não é ativado.

Para garantir a segurança da chave de criptografia, o ransomware gera uma chave simétrica usando o gerador de números aleatórios OsRng, criptografa os arquivos com ChaCha20 e, em seguida, protege a chave ChaCha20 com RSA. O aviso de ransomware é gerado em cada diretório criptografado, utilizando a convenção de nomeação “RECOVER-[extensão]-DATA.txt”.

Vetores de ataque e operação do Cicada3301

O vetor inicial de ataque do Cicada3301 envolve o uso de credenciais válidas, geralmente obtidas por meio de força bruta ou roubo, para acessar sistemas utilizando ferramentas como o ScreenConnect. Essas credenciais comprometidas são a porta de entrada para que o grupo possa implementar seu ransomware nos sistemas-alvo.

Há indícios de que o endereço IP associado a essas atividades esteja vinculado ao botnet Brutus, conhecido por campanhas de adivinhação de senhas. Essa ligação sugere que o Cicada3301 pode ser uma reencarnação do grupo BlackCat/ALPHV, ou ao menos compartilhar recursos ou desenvolvedores com ele.

Mitigando os riscos de ataques ransomware

Dado o avanço das técnicas de criptografia utilizadas pelo Cicada3301 e sua capacidade de atingir múltiplos sistemas operacionais, as organizações precisam reforçar suas medidas de cibersegurança. Ações recomendadas incluem backups regulares de dados, segmentação de redes e treinamento contínuo de funcionários para reconhecer e evitar ameaças de ransomware.

Considerações finais

O Cicada3301 representa uma nova e perigosa ameaça no cenário de segurança cibernética. Sua operação como uma plataforma de ransomware-as-a-service, combinada com o uso de Rust e técnicas sofisticadas, exige atenção redobrada de empresas e indivíduos. A proteção contra este tipo de ataque passa por uma postura preventiva e bem informada, capaz de mitigar os impactos potenciais.

Acesse a versão completa
Sair da versão mobile