Ransomware emergente

Cicada3301: ameaça emergente ou rebranding do Alphv/BlackCat?

O Cicada3301, um novo ransomware, tem várias semelhanças com o Alphv/BlackCat, levando a suspeitas de que seja um rebranding. Saiba mais sobre as táticas e diferenças entre esses grupos.

Ransomware

O mundo da segurança cibernética está em constante evolução, com novos tipos de ransomware surgindo frequentemente. Entre eles, o Cicada3301 tem chamado atenção por suas semelhanças com o notório Alphv/BlackCat, que foi desativado recentemente. Esse novo ransomware foi analisado por especialistas que identificaram diversos pontos em comum com o Alphv/BlackCat, levantando a hipótese de que o Cicada3301 possa ser um rebranding do grupo anterior ou simplesmente tenha copiado algumas de suas técnicas.

O que é ransomware?

Para entender o contexto, é importante esclarecer o que é ransomware. Trata-se de um tipo de software malicioso que, uma vez instalado em um sistema, criptografa arquivos, impedindo o acesso às informações. Os cibercriminosos então exigem um resgate (ransom) para liberar o acesso, daí o nome ransomware. A versão moderna dessa prática, muitas vezes oferecida como “Ransomware-as-a-Service” (RaaS), possibilita que outras pessoas, sem grande conhecimento técnico, usem a infraestrutura criada pelos desenvolvedores de ransomware para realizar seus próprios ataques. É exatamente isso que se suspeita que o Cicada3301 faça.

A queda do Alphv/BlackCat e a ascensão do Cicada3301

O Alphv/BlackCat, também conhecido por sua sofisticação em ataques de grandes corporações, foi um dos grupos mais perigosos de ransomware nos últimos anos. A queda do Alphv/BlackCat começou em dezembro de 2023, quando seu site de vazamento foi temporariamente fechado. Dias depois, o FBI anunciou que havia desmantelado parte da infraestrutura do grupo e desenvolvido uma ferramenta para descriptografar seus ataques. Embora o Alphv/BlackCat tenha tentado se recuperar, com ameaças de atacar infraestruturas críticas, sua queda final ocorreu em março de 2024, após um grande ataque à empresa Change Healthcare, o que levou a suspeitas de um golpe interno. Após esse incidente, o Cicada3301 começou a ganhar notoriedade, com seu primeiro ataque registrado em junho de 2024.

Semelhanças técnicas: cicada3301 e Alphv/BlackCat

Ambos os ransomwares utilizam a linguagem de programação Rust, uma escolha estratégica. Rust tem ganhado popularidade entre desenvolvedores de ransomware por ser eficiente, flexível e multiplataforma, o que significa que pode ser usado tanto em sistemas Windows quanto Linux, aumentando o alcance dos ataques. Além disso, ambos usam o algoritmo de criptografia ChaCha20, uma ferramenta poderosa para bloquear os dados da vítima de forma rápida e segura.

No lado técnico, os dois ransomwares empregam métodos similares para se ocultar de ferramentas de segurança. Eles desativam serviços essenciais no Windows, como o Internet Information Services (IIS), o que impede o funcionamento de servidores web, além de manipular ferramentas como vssadmin e WMI para excluir backups do sistema e impedir a recuperação. Outra técnica comum é a alteração de configurações do protocolo SMB para aumentar o tráfego de rede, o que pode ser usado para intensificar o impacto do ataque em redes empresariais.

Na versão para Linux/ESXi, ambos os ransomwares utilizam comandos quase idênticos para desativar máquinas virtuais e apagar snapshots de backup, dificultando ainda mais a recuperação dos dados afetados.

Diferenças entre cicada3301 e Alphv/BlackCat

Apesar das muitas semelhanças, existem algumas diferenças notáveis entre o Cicada3301 e o Alphv/BlackCat. A principal diferença observada é o público-alvo. Enquanto o Alphv/BlackCat era conhecido por atacar grandes corporações e exigir resgates milionários, o Cicada3301 parece focar em empresas de pequeno e médio porte, possivelmente com demandas de resgate menores, mas em maior volume.

Além disso, o Cicada3301 trouxe uma novidade ao integrar credenciais comprometidas diretamente no código do ransomware. Isso permite que ele use ferramentas como psexec, que serve para executar programas remotamente em outras máquinas da rede, utilizando as credenciais roubadas. Essa inovação representa um nível de sofisticação técnica diferente do Alphv/BlackCat, sugerindo que o Cicada3301 pode estar experimentando novas abordagens para otimizar seus ataques.

A possível conexão com o botnet Brutus

Um detalhe que adiciona complexidade ao Cicada3301 é sua associação com o botnet Brutus. Um botnet é uma rede de computadores infectados controlada remotamente por um criminoso, que pode ser usada para distribuir malware, executar ataques de negação de serviço (DDoS) ou espalhar ransomware. Pesquisadores acreditam que o Cicada3301 possa estar usando o Brutus para acessar potenciais vítimas, o que levanta a hipótese de que parte do grupo Alphv/BlackCat poderia ter se unido ao Brutus ou até mesmo ter criado o botnet como uma nova estratégia para aumentar o alcance dos ataques.

Um rebranding do Alphv/BlackCat ou algo novo?

A possibilidade de que o Cicada3301 seja um rebranding do Alphv/BlackCat ainda não está completamente confirmada. No entanto, existem vários indícios que apontam nessa direção. Antes de sua queda, o Alphv/BlackCat anunciou que estava vendendo seu código-fonte por US$ 5 milhões, o que poderia ter permitido que outro grupo, como o Cicada3301, comprasse o código e o adaptasse. Outra possibilidade é que o Cicada3301 seja o trabalho de um desenvolvedor que trabalhou anteriormente com o Alphv/BlackCat e decidiu criar seu próprio ransomware.

Além disso, a prática de copiar ou adaptar ransomware de outros grupos não é incomum no mundo do cibercrime. Já vimos grupos como o DarkVault, que copiaram o estilo visual do LockBit, sugerindo uma conexão que, na verdade, pode não existir. O mesmo pode estar acontecendo com o Cicada3301.

Conclusão: o que isso significa para empresas e usuários?

O surgimento do Cicada3301 é mais um lembrete de que a segurança cibernética precisa ser uma prioridade para empresas de todos os portes. Com ransomwares se tornando cada vez mais sofisticados e adaptáveis, é fundamental que empresas mantenham backups regulares e invistam em soluções de segurança robustas. Além disso, o treinamento de funcionários para identificar e evitar ameaças cibernéticas pode ser uma defesa essencial contra esses tipos de ataques.

Seja um rebranding do Alphv/BlackCat ou um novo grupo explorando as mesmas táticas, o Cicada3301 representa uma ameaça real que não deve ser subestimada. O cenário cibernético está sempre mudando, e novas ameaças continuarão a surgir.