Cicada 3301: ransomware

Los expertos en ciberseguridad han analizado una nueva variante de ransomware denominada Cicada 3301, que comparte características con la operación BlackCat (también conocida como ALPHV), que ya no se utiliza. Cicada 3301 ataca principalmente a pequeñas y medianas empresas (PYMES) y aprovecha las vulnerabilidades como punto de acceso inicial a través de ataques oportunistas.

Este ransomware, desarrollado en Rust, está diseñado para infectar sistemas Windows y Linux/ESXi. Fue detectado por primera vez en junio de 2024, cuando comenzó a reclutar afiliados para su plataforma Ransomware-as-a-Service (RaaS) a través de una publicación en el foro clandestino RAMP. Una de las características distintivas del ransomware es la incorporación de credenciales de usuario comprometidas dentro del ejecutable, que luego se utilizan para ejecutar PsExec, una herramienta legítima que permite la ejecución remota de programas.

El Cicada 3301 utiliza el algoritmo criptográfico ChaCha20, una forma de cifrado simétrico, para bloquear los archivos. Los archivos cifrados tienen sus nombres modificados con una extensión de siete caracteres generada aleatoriamente. Por ejemplo, un archivo originalmente llamado '1.doc' se transforma en '1.doc.f11a46a1'. Una vez que se realiza el cifrado, el ransomware deja una nota de rescate en un archivo de texto llamado 'RESTORE-[file_extension]-DATA.txt'.

Las exigencias de los atacantes detrás del ransomware Cicada 3301

La nota de rescate que deja Cicada 3301 deja claro que el ransomware está diseñado para atacar a empresas. Informa a la víctima de que su red ha sido comprometida, que los archivos han sido cifrados y que las copias de seguridad han sido borradas. Además, advierte de que se ha robado una cantidad importante de datos confidenciales de la red.

Los atacantes exigen un pago por la herramienta de descifrado y por la eliminación de los datos extraídos. Si no se cumplen estas exigencias, amenazan con filtrar la información robada y notificar a las autoridades reguladoras, así como a los clientes, socios y competidores de la víctima.

Como demostración de que es posible recuperar archivos, los piratas informáticos proponen descifrar un archivo de forma gratuita. La nota también advierte contra intentar descifrar o alterar los archivos cifrados, ya que hacerlo podría provocar una pérdida permanente de datos.

Similitudes con amenazas de ransomware anteriores

Cicada3301 comparte varias tácticas con BlackCat, incluido el uso del cifrado ChaCha20, el comando sutil para evaluar enlaces simbólicos y cifrar archivos redirigidos, e IISReset.exe para detener los servicios de IIS y cifrar archivos que de otro modo podrían quedar bloqueados y no poder modificarlos ni eliminarlos.

Las similitudes adicionales con BlackCat incluyen acciones para eliminar copias de sombra, deshabilitar la recuperación del sistema modificando la utilidad bcdedit, aumentar el valor MaxMpxCt para manejar volúmenes de tráfico más grandes (como solicitudes SMB PsExec) y borrar todos los registros de eventos usando la utilidad wevtutil.

El ransomware Cicada 3301 ataca a 35 tipos de archivos diferentes

También se observó que Cicada3301 detenía máquinas virtuales (VM) implementadas localmente, un comportamiento previamente adoptado por Megazord Ransomware y Yanluowang Ransomware , y finalizaba varios servicios de respaldo y recuperación y una lista codificada de docenas de procesos.

Además de mantener una lista incorporada de archivos y directorios excluidos durante el proceso de cifrado, el ransomware ataca a un total de 35 extensiones de archivo: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm y txt.

Los investigadores también han descubierto herramientas adicionales como EDRSandBlast que utilizan un controlador firmado vulnerable para evitar las detecciones de EDR, una práctica también adoptada por el grupo BlackByte Ransomware en el pasado.

La nota de rescate generada por el ransomware Cicada 3301 dice:

'*** Welcome to Cicada3301 ***

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

Provide you with proof that the data has been stolen;

Delete all stolen data;

Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'