Cicada3301
Cicada3301 es una operación de ransomware como servicio (RaaS), surgida en 2024 y basada en el ransomware ALPHV/BlackCat.
El origen de Cicada3301
La operación de ransomware Cicada3301 toma su nombre y logotipo del infame rompecabezas de Internet de 2012-2014 conocido como Cicada 3301, que implicaba complejos desafíos criptográficos. Sin embargo, la operación actual de ransomware como servicio (RaaS) no tiene ninguna relación con el rompecabezas original. La organización legítima Cicada 3301 ha denunciado públicamente la operación delictiva.
La campaña de ransomware comenzó a reclutar activamente afiliados el 29 de junio de 2024, a través del foro de ciberdelincuencia RAMP. Comparte similitudes significativas con el ransomware ALPHV/BlackCat, lo que sugiere un posible cambio de marca o un grupo disidente que utiliza el mismo código base.
Objetivos
Objetivos de Cicada3301
Países objetivo de Cicada3301
Cicada se dirige principalmente a empresas de Norteamérica y el Reino Unido, pero algunas víctimas recientes se encuentran en Suiza y Noruega.
Industrias objetivo de Cicada3301
Cicada3301 está dirigido a pequeñas y medianas empresas, centrándose en las PYME, en particular aquellas con entornos empresariales que utilizan VMware ESXi. Está estratégicamente diseñado para maximizar los daños mediante la interrupción de las operaciones de máquinas virtuales y la eliminación de las opciones de recuperación.
Industrias objetivo de Cicada3301
Cicada3301 está dirigido a pequeñas y medianas empresas, centrándose en las PYME, en particular aquellas con entornos empresariales que utilizan VMware ESXi. Está estratégicamente diseñado para maximizar los daños mediante la interrupción de las operaciones de máquinas virtuales y la eliminación de las opciones de recuperación.
Víctimas de Cicada3301
Hasta el momento, 26 víctimas han aparecido públicamente en el sitio de extorsión Cicada3301. El ransomware se dirige a empresas con activos de gran valor e infraestructuras críticas, lo que garantiza la máxima presión sobre las víctimas para que paguen el rescate.
Fuente: ransomware.live
Método de ataque
Método de ataque de Cicada3301
Cicada3301 obtiene acceso a través de credenciales robadas o forzadas, utilizando potencialmente la red de bots Brutus para forzar VPN a través de dispositivos Cisco, Fortinet, Palo Alto y SonicWall.
El ransomware utiliza credenciales válidas para escalar privilegios, a menudo eludiendo los sistemas de seguridad a través de herramientas de línea de comandos como PSEXEC.
Utiliza una función de suspensión para retrasar la ejecución, manipular las soluciones EDR y borrar las instantáneas para impedir la recuperación.
Las técnicas integradas de robo de credenciales se utilizan para una mayor infiltración en la red, aprovechando contraseñas forzadas o robadas.
Escanea la red en busca de tipos de archivos y máquinas virtuales, apagando o borrando instantáneas para un impacto óptimo del cifrado.
Utiliza credenciales comprometidas y herramientas como PSEXEC para propagarse por la red.
Recopila documentos y archivos multimedia en función de extensiones específicas antes de iniciar el cifrado.
Cifra los archivos mediante el algoritmo ChaCha20, aplicando un cifrado intermitente a los archivos de mayor tamaño y añadiendo una extensión de siete caracteres.
Actualmente no hay pruebas de que la exfiltración de datos sea una prioridad, pero no se pueden descartar futuras capacidades.
Maximiza las interrupciones cifrando los archivos críticos, apagando las máquinas virtuales y eliminando las instantáneas de recuperación.
Acceso inicial
Cicada3301 obtiene acceso a través de credenciales robadas o forzadas, utilizando potencialmente la red de bots Brutus para forzar VPN a través de dispositivos Cisco, Fortinet, Palo Alto y SonicWall.
Escalada de privilegios
El ransomware utiliza credenciales válidas para escalar privilegios, a menudo eludiendo los sistemas de seguridad a través de herramientas de línea de comandos como PSEXEC.
Defensa Evasión
Utiliza una función de suspensión para retrasar la ejecución, manipular las soluciones EDR y borrar las instantáneas para impedir la recuperación.
Acceso con credenciales
Las técnicas integradas de robo de credenciales se utilizan para una mayor infiltración en la red, aprovechando contraseñas forzadas o robadas.
Descubrimiento
Escanea la red en busca de tipos de archivos y máquinas virtuales, apagando o borrando instantáneas para un impacto óptimo del cifrado.
Movimiento lateral
Utiliza credenciales comprometidas y herramientas como PSEXEC para propagarse por la red.
Colección
Recopila documentos y archivos multimedia en función de extensiones específicas antes de iniciar el cifrado.
Ejecución
Cifra los archivos mediante el algoritmo ChaCha20, aplicando un cifrado intermitente a los archivos de mayor tamaño y añadiendo una extensión de siete caracteres.
Exfiltración
Actualmente no hay pruebas de que la exfiltración de datos sea una prioridad, pero no se pueden descartar futuras capacidades.
Impacto
Maximiza las interrupciones cifrando los archivos críticos, apagando las máquinas virtuales y eliminando las instantáneas de recuperación.
MITRE ATT&CK Cartografía
TTPs utilizados por Cicada3301
TA0001: Initial Access
No items found.
TA0002: Execution
No items found.
TA0003: Persistence
T1053
Scheduled Task/Job
TA0004: Privilege Escalation
T1053
Scheduled Task/Job
TA0005: Defense Evasion
T1218
System Binary Proxy Execution
T1027
Obfuscated Files or Information
T1562
Impair Defenses
TA0006: Credential Access
T1003
OS Credential Dumping
TA0007: Discovery
No items found.
TA0008: Lateral Movement
No items found.
TA0009: Collection
No items found.
TA0011: Command and Control
T1105
Ingress Tool Transfer
TA0010: Exfiltration
No items found.
TA0040: Impact
T1490
Inhibit System Recovery
Detección de plataformas
Cómo detectar Cicada3301 con Vectra AI
Preguntas frecuentes
¿Qué es el ransomware Cicada3301?
Cicada3301 es una cepa de ransomware basada en Rust que se dirige a las pequeñas y medianas empresas (PYMES), cifrando datos e interrumpiendo las operaciones empresariales al inutilizar los sistemas.
¿Cómo obtiene Cicada3301 el acceso inicial?
El ransomware suele explotar vulnerabilidades dentro de las redes y utiliza credenciales comprometidas para establecer un punto de apoyo inicial, a menudo a través de ataques oportunistas.
¿Qué método de cifrado utiliza?
Cicada3301 emplea encriptación RSA con relleno OAEP, garantizando que los archivos encriptados sean altamente seguros y difíciles de desencriptar sin la clave adecuada.
¿Cómo elude la detección Cicada3301?
Cicada3301 utiliza técnicas avanzadas para eludir la detección, incluido el uso de herramientas como EDRSyBlast para desactivar los sistemas de detección y respuesta de puntos finales (EDR) y el borrado de instantáneas para impedir la recuperación.
¿Cuáles son las industrias más afectadas por Cicada3301?
Aunque Cicada3301 se dirige principalmente a las PYME, las empresas de diversos sectores son vulnerables, especialmente las que tienen posturas de ciberseguridad débiles.
¿Qué técnicas utiliza Cicada3301 para desactivar la recuperación?
Cicada3301 desactiva las opciones de recuperación del sistema borrando las instantáneas mediante comandos "vssadmin" y manipulando la configuración de recuperación a través de la utilidad "bcdedit".
¿Cicada3301 exfiltra datos?
Aunque el objetivo principal del ransomware es el cifrado, la infraestructura que utiliza sugiere que puede tener el potencial de filtrar datos en futuras campañas.
¿Cómo puede detectarse el ransomware Cicada3301?
Las herramientas avanzadas de detección y respuesta a la red, como las que ofrece Vectra AI, pueden detectar comportamientos inusuales en la red, credenciales comprometidas y movimientos laterales, lo que permite la identificación temprana de amenazas como Cicada3301 antes de que causen daños.
¿Qué debo hacer si detecto Cicada3301 en mi entorno?
Las medidas inmediatas deben incluir el aislamiento de los sistemas afectados y la colaboración con expertos en ciberseguridad. Soluciones como la plataforma Vectra AI ofrecen detección en tiempo real, respuestas automatizadas y análisis forense posterior al incidente para mitigar rápidamente las amenazas de ransomware.
¿Cómo puedo protegerme contra el ransomware Cicada3301?
Las estrategias de defensa proactivas, como la plataforma Vectra AI , proporcionan una supervisión continua de la red, detección de amenazas basada en IA e identificación en fase temprana de las actividades del ransomware. Esto incluye la detección de la escalada de privilegios, el movimiento lateral y los intentos de desactivar las defensas, lo que garantiza la detención del ransomware antes de que pueda causar daños significativos.