Windows e Linux vulneráveis ao ransomware Cicada3301, estranhamente familiar

Um ransomware relativamente novo, chamado Cicada3301, foi analisado detalhadamente por pesquisadores de segurança cibernética, e as descobertas revelam surpreendentes reminiscências de ataques infames do passado recente. O Cicada3301 é capaz de atacar sistemas baseados em Linux e Windows.

Esse novo malware tem uma semelhança com o BlackCat, o ransomware usado no ataque de 2021 ao Colonial Pipeline. O fator único é que o Cicada3301 usa uma abordagem dupla para fazer com que as vítimas paguem; não apenas os arquivos são criptografados, mas também são empacotados e vazados se o pagamento não for feito.

O Cicada3301 foi detectado pela primeira vez em junho de 2024, quando o primeiro vazamento de dados de uma vítima apareceu no site dedicado criado por seus criadores. Mais tarde, eles foram para um fórum russo da dark web chamado RAMP com o objetivo de solicitar afiliados. Eles ofereceram o Cicada3301 como um serviço, oferecendo-se para atacar alvos selecionados por um preço. Esse modelo, chamado de ransomware como serviço, ganhou popularidade entre os malfeitores nos últimos anos.

As vítimas descobrirão que seus sistemas são amplamente imunes aos esforços tradicionais usados para conter ataques de ransomware graças a uma combinação inteligente de táticas incorporadas ao Cicada3301. Em vez disso, elas serão recebidas por um único arquivo de texto que oferece instruções para evitar que seus arquivos sejam vazados. De acordo com o arquivo de texto, o grupo por trás desse ataque inclui uma oferta para reforçar a segurança das vítimas para evitar ataques semelhantes no futuro, bem como suporte contínuo, caso a vítima decida pagar.

O site e os recursos utilizados pelo grupo por trás do ataque de 2021 acabaram sendo apreendidos pelas autoridades dos EUA. Acredita-se que o grupo tenha encerrado suas atividades, mas as semelhanças que o Cicada3301 tem com o BlackCat e sua nova marca, ALHPV, são numerosas.

O Cicada3301 foi escrito na linguagem de programação Rust, o que o torna versátil, eficiente e extensível, mas isso pode ser considerado apenas como uma tendência estabelecida pelo BlackCat; até esse ataque, o ransomware escrito em Rust era extremamente incomum e, na maioria das vezes, era uma mera prova de conceito exibida por hackers de chapéu branco na Web.

Além de usar a mesma linguagem de programação e estrutura geral de ataque, o Cicada3301 usa métodos de descriptografia semelhantes, e muitos comandos escritos no novo malware são exatamente iguais às chamadas de função encontradas no BlackCat. Em ambos os ataques, as credenciais de usuário legítimas são obtidas por qualquer meio disponível, geralmente engenharia social, e usadas para obter acesso ao sistema alvo.

A partir daí, os dois ataques usam chamadas quase idênticas para fazer coisas como telefonar para casa, criptografar e descriptografar arquivos, exibir mensagens e muito mais. O Cicada3301, no entanto, vem com alguns truques novos. O principal deles é a capacidade de impedir que máquinas externas, incluindo máquinas virtuais, acessem arquivos e sistemas criptografados.

Em setembro de 2024, todos os recursos vinculados ao Cicada3301 aparentemente ainda estão ativos, e não há relatos de que algum agente mal-intencionado ligado a ele tenha se retirado ou sido preso. É possível que o novo ransomware seja a criação de um ou mais membros da equipe dos ataques do BlackCat ou de um grupo rival que copiou grande parte do código do BlackCat antes que ele se tornasse obscuro.