Investigadores de seguridad han descubierto un nuevo ransomware de doble extorsión con vínculos claros con la variante ALPHV/BlackCat y la botnet Brutus.
Según Truesec, el grupo, llamado Cicada3301 en honor a un juego de cifrado en línea, se dirige a entornos VMware ESXi con el objetivo de apagar las máquinas virtuales, eliminar instantáneas y cifrar datos.
Según los investigadores, el grupo publicó por primera vez sobre el sitio de violación de datos el 25 de junio y, cuatro días después, en el foro sobre delitos cibernéticos Ramp, invitaban a personas prometedoras a unirse a la plataforma.
El informe señala que solo se sabe que unos pocos grupos han utilizado el ransomware ESXi escrito en Rust, uno de los cuales es el ahora desaparecido grupo ALPHV.
Otras similitudes con los grupos incluyen:
Ambos usan ChaCha20 para el cifrado. Ambos usan casi los mismos comandos para apagar la VM y eliminar instantáneas. Ambos utilizan el parámetro del comando –ui para proporcionar resultados gráficos sobre el cifrado. Ambos usan la misma convención para nombrar archivos, pero cambian “RECOVER-“ransomware extension”-FILES.txt” por “RECOVER-“ransomware extension”-DATA.txt”. Cómo descifrar notas de ransomware usando parámetros clave
“El vector de ataque inicial fue que el actor de la amenaza iniciara sesión utilizando ScreenConnect con credenciales válidas que fueron robadas o forzadas de forma bruta”, explica Truesec.
“La dirección IP 91.92.249.203 utilizada por el actor de amenazas está asociada con una botnet llamada “Brutus”, que se ha vinculado a una campaña generalizada para adivinar contraseñas para varias soluciones VPN, incluido ScreenConnect. “
Truesec sugirió que ALPHV y Cicada3301 pueden estar relacionados, pero también es teóricamente posible que otro grupo haya comprado el código fuente cuando el negocio RaaS cerró en marzo.
Mientras tanto, los propietarios del juego Cicada3301 original han emitido un comunicado distanciándose del nuevo grupo RaaS.
Después de recibir un considerable rescate de 22 millones de dólares de Change Healthcare a principios de este año, el grupo ALPHV/BlackCat parece haber perpetrado una clásica estafa de salida para avergonzar a los involucrados.
Obtenga más información sobre ALPHV/BlackCat: el grupo de ransomware BlackCat se dirige a empresas a través de Google Ads
https://www.infosecurity-magazine.com/news/cicada3301-ransomware-group-alphv/
