{"id":1345546,"date":"2024-09-03T17:36:23","date_gmt":"2024-09-03T17:36:23","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-nuevo-ransomware-cicada3301-basado-en-rust-ataca-sistemas-windows-y-linux\/"},"modified":"2024-09-03T17:36:27","modified_gmt":"2024-09-03T17:36:27","slug":"el-nuevo-ransomware-cicada3301-basado-en-rust-ataca-sistemas-windows-y-linux","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-nuevo-ransomware-cicada3301-basado-en-rust-ataca-sistemas-windows-y-linux\/","title":{"rendered":"El nuevo ransomware Cicada3301 basado en Rust ataca sistemas Windows y Linux"},"content":{"rendered":"


\n<\/p>\n

\n

\ue802<\/i>3 de septiembre de 2024<\/span>\ue804<\/i>Ravie Lakshmanan<\/span><\/span>Seguridad de endpoints\/Malware<\/span><\/p>\n<\/div>\n

\n
<\/a><\/div>\n

Los investigadores de ciberseguridad han desentra\u00f1ado el funcionamiento interno de una nueva variante de ransomware llamada Cicada3301 que comparte similitudes con la ahora desaparecida operaci\u00f3n BlackCat (tambi\u00e9n conocida como ALPHV).<\/p>\n

“Parece que el ransomware Cicada3301 se dirige principalmente a peque\u00f1as y medianas empresas (PYMES), probablemente a trav\u00e9s de ataques oportunistas que explotan vulnerabilidades como vector de acceso inicial”, dijo la empresa de ciberseguridad Morphisec dicho<\/a> en un informe t\u00e9cnico compartido con The Hacker News.<\/p>\n

Cicada3301, escrito en Rust y capaz de atacar hosts tanto Windows como Linux\/ESXi, apareci\u00f3 por primera vez en junio de 2024, invitando a afiliados potenciales a unirse a su plataforma de ransomware como servicio (RaaS) a trav\u00e9s de un anuncio en el foro underground RAMP.<\/p>\n

Un aspecto notable del ransomware es que el ejecutable incorpora las credenciales del usuario comprometido, que luego se utilizan para ejecutar PsExec<\/a>una herramienta leg\u00edtima que permite ejecutar programas de forma remota.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/div>\n

Las similitudes de Cicada3301 con BlackCat tambi\u00e9n se extienden a su uso de ChaCha20 para el cifrado, \u00fatil<\/a> para evaluar enlaces simb\u00f3licos y cifrar archivos redirigidos, as\u00ed como IISReset.exe para detener los servicios de IIS y cifrar archivos que de otro modo podr\u00edan quedar bloqueados para su modificaci\u00f3n o eliminaci\u00f3n.<\/p>\n

Otras superposiciones con BlackCat incluyen pasos realizados para eliminar copias de sombra, deshabilitar la recuperaci\u00f3n del sistema manipulando el bcdedit<\/a> utilidad, aumentar la M\u00e1ximo MpxCt<\/a> valor para soportar mayores vol\u00famenes de tr\u00e1fico (por ejemplo, solicitudes SMB PsExec) y borrar todos los registros de eventos utilizando el tevtutil<\/a> utilidad.<\/p>\n

\"\"<\/a><\/div>\n

Cicada3301 tambi\u00e9n ha observado la detenci\u00f3n de m\u00e1quinas virtuales (VM) implementadas localmente, un comportamiento previamente adoptado por el ransomware Megazord y el ransomware Yanluowang, y la finalizaci\u00f3n de varios servicios de respaldo y recuperaci\u00f3n y una lista codificada de docenas de procesos.<\/p>\n

Adem\u00e1s de mantener una lista incorporada de archivos y directorios excluidos durante el proceso de cifrado, el ransomware ataca a un total de 35 extensiones de archivo: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm y txt.<\/p>\n

Morphisec dijo que su investigaci\u00f3n tambi\u00e9n descubri\u00f3 herramientas adicionales como EDRSandBlast<\/a> que utilizan un controlador firmado vulnerable para evitar las detecciones de EDR, una t\u00e9cnica tambi\u00e9n adoptada por el grupo de ransomware BlackByte en el pasado.<\/p>\n

\"Ciberseguridad\"<\/a><\/center><\/section>\n

Los hallazgos surgen del an\u00e1lisis de Truesec de la versi\u00f3n ESXi de Cicada3301, al tiempo que tambi\u00e9n descubren indicios de que el grupo puede haberse asociado con los operadores de la Red de bots Brutus<\/a> para obtener acceso inicial a las redes empresariales.<\/p>\n

“Independientemente de si Cicada3301 es una nueva marca de ALPHV, tienen un ransomware escrito por el mismo desarrollador que ALPHV o simplemente han copiado partes de ALPHV para hacer su propio ransomware, la l\u00ednea de tiempo sugiere que la desaparici\u00f3n de BlackCat y el surgimiento primero de la botnet Brutus y luego la operaci\u00f3n del ransomware Cicada3301 posiblemente est\u00e9n todos conectados”, dijo la compa\u00f1\u00eda. anotado<\/a>.<\/p>\n

Los ataques contra los sistemas VMware ESXi tambi\u00e9n implican el uso de cifrado intermitente para cifrar archivos m\u00e1s grandes que un umbral establecido (100 MB) y un par\u00e1metro llamado “no_vm_ss” para cifrar archivos sin apagar las m\u00e1quinas virtuales que se ejecutan en el host.<\/p>\n

La aparici\u00f3n de Cicada3301 tambi\u00e9n ha impulsado un “movimiento apol\u00edtico” hom\u00f3nimo, que ha incursionado en temas “misteriosos”. acertijos criptogr\u00e1ficos<\/a>para emitir una declaraci\u00f3n<\/a> que no tiene conexi\u00f3n con el esquema de ransomware.<\/p>\n

<\/p>\n

\u00bfTe ha parecido interesante este art\u00edculo? S\u00edguenos en Gorjeo \uf099<\/i><\/a> y LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n