El grupo de ransomware como servicio (RaaS) Cicada3301 vio sus programas afiliados comprometidos por investigadores de Group-IB, y se publicaron nuevos detalles sobre el panel de afiliados de la pandilla y las acciones de ransomware en un informe publicado el jueves.
Cicada3301 comenzó a reclutar afiliados a fines de junio de 2024 y desde entonces se ha cobrado al menos 30 víctimas, principalmente en los EE. UU. y el Reino Unido. El grupo llamó la atención en septiembre después de que un análisis encontró varias similitudes entre el ransomware Cicada3301 y el ransomware de la extinta banda de ransomware ALPHV/BlackCat.
Aunque todavía no está claro si Cicada3301 es un cambio de marca de ALPHV/BlackCat, o si el grupo compró el código fuente de ALPHV/BlackCat cuando se puso a la venta a principios de este año, el informe de Group-IB también afirma que también señala “muy fuerte similitudes”, incluidas diferencias importantes, entre ellas: Menos opciones de línea de comando, uso diferente de las claves de acceso, sin configuraciones de incrustación y ligeras diferencias en las convenciones de nomenclatura de las notas de rescate.
El informe también proporcionó una descripción detallada de las funciones disponibles para los afiliados de Cicada3301 a través de su panel de afiliados, incluida la capacidad de administrar fácilmente las empresas víctimas y personalizar los ataques para cada víctima.
Se revela el panel de afiliados de Cicada3301
Solo se puede acceder a la interfaz web del Panel de afiliados de Cicada3301 a través de Tor, y el panel principal de afiliados muestra una descripción general de los intentos de inicio de sesión exitosos y fallidos, detalles de huellas dactilares y un gráfico de las empresas a las que se dirige el afiliado, reveló Group-IB. Desde la barra lateral del panel, puede acceder a otras secciones, como Noticias, Empresas, Empresas de chat y Soporte por chat.
La sección Noticias contiene notas de la versión del ransomware Cicada3301 y otras actualizaciones sobre el grupo y su programa de afiliados, presentando numerosas correcciones de errores y optimizaciones de funciones el 13 de junio de 2024, y alentando a los afiliados a lanzar un nuevo servidor de archivos para cargar datos filtrados el 15 de junio. de 2024, introdujo un centro de llamadas el 18 de junio de 2024.
La sección “Empresas” permite a los afiliados comenzar a planificar, documentar y organizar ataques contra empresas víctimas. La función “Crear empresa” permite a los afiliados agregar el nombre de la víctima, el precio de demanda de rescate, el precio de descuento y la fecha de vencimiento del descuento antes de seguir orquestando el ataque. Contiene muestras de ransomware personalizadas y notas de ransomware.
Los afiliados pueden configurar el ransomware utilizado en cada ataque para cambiar el tipo de cifrado entre los métodos de cifrado “Rápido”, “Completo” y “Automático”, y el tipo de página de destino que crean para las víctimas (cifrado y fuga de datos, o datos). solo fugas) o cifrado específico. Exclusiones de máquinas virtuales y credenciales de Windows utilizadas para suplantación y acceso.
La sección “Empresas de chat” abre una interfaz para chatear con las víctimas y negociar pagos de rescate, mientras que Chat Support abre otra interfaz para chatear con representantes de Cicada3301 sobre problemas de soporte. Los afiliados también podrán utilizar esta interfaz para solicitar contacto telefónico con las víctimas a través de los servicios de call center antes mencionados.
El panel también incluye una sección de cuenta para que los afiliados restablezcan la contraseña que utilizan para acceder al panel de afiliados, así como preguntas frecuentes con información detallada sobre el ransomware Cicada3301 y los programas de afiliados.
El ransomware está escrito en Rust, utiliza ChaCha20 y RSA para el cifrado y está disponible para sistemas Windows 7 y posteriores, Linux, ESXi, NAS y PowerPC. Group-IB señaló que la versión PowerPC es única porque PowerPC es una infraestructura informática más antigua que rara vez se utiliza en los sistemas modernos, excepto en computadoras Mac más antiguas y algunos otros sistemas heredados.
Cicada3301 utiliza un grupo de subprocesos de 50 subprocesos para cifrar de manera eficiente una gran cantidad de archivos en paralelo para evitar la detección y evitar la recuperación, incluida la desactivación de procesos de seguridad, máquinas virtuales y la eliminación de instantáneas y copias de seguridad. Tome algunas medidas para:
La investigación de Group-IB reveló que la comisión del afiliado era del 20% del pago del rescate y que Cicada3301 era responsable de ataques a países de la Comunidad de Estados Independientes (CEI), incluidos Rusia, Bielorrusia, Moldavia, Armenia, Azerbaiyán, Kazajstán y Kirguistán. resulta que está prohibido. , Tayikistán y Uzbekistán. Cicada3301 parece usar tanto ruso como inglés para comunicarse, y la sección de noticias del tablero está completamente en ruso.
“La aparición de Cicada3301 destaca la evolución de las amenazas que enfrentan las organizaciones por parte de grupos de ransomware cada vez más especializados, ingeniosos y audaces. “Esto resalta la necesidad urgente de fortalecer la seguridad, participar en inteligencia de amenazas proactiva y adoptar estrategias de defensa en capas para protegerse contra adversarios tan avanzados”. Concluyó el Grupo IB.
https://packetstormsecurity.com/news/view/36489/Cicada3301-Ransomware-Affiliate-Program-Infiltrated-By-Security-Researchers.html
