Início Últimas notícias Linux Malwares

Ransomware Linux

Ransomware Cicada3301 para Linux tem como alvo os sistemas VMware ESXi

Jardeson Márcio

Imagem de abelha represnetando ransomware
Imagem: Midjourney

Uma nova operação de ransomware Linux como serviço (RaaS) chamada Cicada3301 já listou 19 vítimas em seu portal de extorsão, tendo como alvo os sistemas VMware ESXi. A operação está mirando em ataques a empresas no mundo todo.

Ransomware Linux Cicada3301

A nova operação de crimes cibernéticos recebeu o nome do misterioso jogo online/real de 2012-2014 que envolvia quebra-cabeças criptográficos elaborados e usava o mesmo logotipo para promoção em fóruns de crimes cibernéticos. No entanto, não há conexão entre os dois, e o projeto legítimo emitiu uma declaração para renunciar a qualquer associação e condenar as ações dos operadores do ransomware.

O ransomware Cicada3301 RaaS começou a promover a operação e a recrutar afiliados em 29 de junho de 2024, em uma postagem no fórum sobre ransomware e crimes cibernéticos conhecido como RAMP, aponta o Bleeping Computer. No entanto, o site está ciente dos ataques da Cicada já em 6 de junho, indicando que a gangue estava operando de forma independente antes de tentar recrutar afiliados.

Imagem com Operador de ransomware Cicada3301 busca afiliados em fóruns RAMP
Operador de ransomware Cicada3301 busca afiliados em fóruns RAMP
Imagem: Truesec


Táticas do Ransomware

Como outras operações de ransomware, a Cicada3301 conduz táticas de dupla extorsão, onde viola redes corporativas, rouba dados e então criptografa dispositivos. A chave de criptografia e as ameaças de vazamento de dados roubados são então usadas como alavanca para assustar as vítimas e fazê-las pagar um resgate.

Os criminosos operam um site de vazamento de dados que é usado como parte de seu esquema de dupla extorsão. Uma análise do novo malware feita pela Truesec revelou sobreposições significativas entre o Cicada3301 e o ALPHV/BlackCat, indicando uma possível mudança de marca ou uma bifurcação criada por antigos membros da equipe principal do ALPHV.

A Truesec também encontrou indícios (Via: Bleeping Computer) de que a operação de ransomware Cicada3301 pode fazer parceria com ou utilizar a botnet Brutus para acesso inicial a redes corporativas. Essa botnet foi anteriormente associada a atividades de força bruta de VPN em escala global visando dispositivos Cisco, Fortinet, Palo Alto e SonicWall.

O site lembra que, vale a pena notar que a atividade do Brutus foi detectada pela primeira vez duas semanas após o ALPHV encerrar as operações, então a ligação entre os dois grupos ainda permanece em termos de cronogramas.

Notícias Relacionadas

Imagem de hacker

Desenvolvedores Python

Desenvolvedores Python estão sendo hackeados via teste de codificação de gerenciador de senhas falso

Membros Lazarus Group estão se passando por recrutadores, hackeando desenvolvedores Python com projetos de teste de codificação para produtos de gerenciamento de senhas que incluem malware. Desenvolvedores Python hackeados Os ataques de malwares fazem parte da ‘campanha VMConnect’ detectada pela primeira vez em agosto de 2023 (Via: Bleeping Computer), onde os cibercriminosos visavam desenvolvedores de […]

Ransomware RansomHub

Ransomware RansomHub usa ferramenta TDSSKiller para desabilitar sistemas de detecção e resposta de endpoint

Pesquisadores de segurança observaram o grupo de ransomware RansomHub usando a ferramenta TDSSKiller para desabilitar sistemas de detecção e resposta de endpoint (EDR). RansomHub usa ferramenta TDSSKiller para desabilitar detecção e resposta de endpoint A gangue de ransomware RansomHub está usando a ferramenta TDSSKiller para desabilitar sistemas de detecção e resposta de endpoint (EDR), observou […]

Mais uma ameaça ao VMware ESXi

Cicada3301 é uma operação de ransomware baseada em Rust com criptografadores Windows e Linux/VMware ESXi. Como parte do relatório da Truesec, os pesquisadores analisaram o criptografador VMWare ESXi Linux para a operação de ransomware.

Assim como o BlackCat e outras famílias de ransomware, como o RansomHub, uma chave especial deve ser inserida como um argumento de linha de comando para iniciar o criptografador. Essa chave é usada para descriptografar um blob JSON criptografado que contém a configuração que o criptografador usará ao criptografar um dispositivo.

A Truesec diz que o criptografador verifica a validade da chave usando-a para descriptografar a nota de resgate e, se for bem-sucedido, continua com o restante da operação de criptografia.

O Cicada3301 tem como alvo extensões de arquivo específicas correspondentes a documentos e arquivos de mídia e verifica seu tamanho para determinar onde aplicar criptografia intermitente (>100 MB) e onde criptografar todo o conteúdo do arquivo (<100 MB).

Os operadores do ransomware podem definir um parâmetro de suspensão para atrasar a execução do criptografador, potencialmente para evitar a detecção imediata.

As atividades e a taxa de sucesso do Cicada3301 indicam um agente experiente que sabe o que está fazendo, reforçando ainda mais a hipótese de uma reinicialização do ALPHV ou pelo menos a utilização de afiliados com experiência anterior em ransomware.

Via: Bleeping Computer

Assuntos

Mais Notícias

Mais artigos
malware

Styx Stealer

Desmascarando o Styx Stealer: como um erro de hacker levou a um tesouro de inteligência

Nossa equipe de especialistas da Check Point Research (CPR) descobriu recentemente o Styx Stealer, um novo malware capaz de roubar dados de navegadores, sessões de mensageiros instantâneos do Telegram e Discord e criptomoedas. Embora tenha surgido pouco tempo atrás, já foi identificado em ataques, incluindo aqueles direcionados a diversas empresas e setores. O desenvolvedor do […]