O ransomware Cicada pode ser uma reformulação e atualização do BlackCat/ALPHV
O ransomware Cicada3301, que já fez pelo menos 20 vítimas desde que foi detectado em junho, compartilha “semelhanças impressionantes” com o famoso ransomware BlackCat, de acordo com pesquisadores de segurança da empresa israelense de segurança de endpoint Morphisec.
A equipe de inteligência de ameaças da Morphisec publicou na terça-feira um análise do Cicada3301 que afirma ter sido codificado em Rust – assim como o BlackCat.
O Cicada compartilha outras características com o BlackCat, incluindo como ele tenta excluir cópias de sombra que o Windows Server pode criar para criar réplicas pontuais de arquivos úteis. Excluir essas cópias pode dificultar a recuperação de ransomware. O malware manipula o Volume Snapshot Service (vssadmin) do Windows, que ajuda a criar as cópias de sombra, e então ele chama o Windows Management Instrumentation (WMI). Ele também adultera o utilitário “bcdedit” em uma tentativa de impedir que as vítimas recuperem sistemas criptografados.
A Morphisec também detectou personalizações como a incorporação de credenciais de usuário comprometidas no ransomware e, em seguida, a execução do malware com as credenciais válidas usando uma ferramenta de gerenciamento remoto Sysinternals renomeada chamada psexec
.
“Embora as notas e a criptografia do ransomware tenham sido personalizadas por vítima, as credenciais comprometidas integradas em um ransomware representam um novo nível de personalização”, escreveram os pesquisadores em um relatório [PDF].
Como os quebra-cabeças
O ransomware recebeu o nome de três quebra-cabeças postado online entre 2012 e 2014. O terceiro continua sem solução, e o(s) criador(es) dos quebra-cabeças continuam um mistério – assim como os desenvolvedores do ransomware Cicada3301.
A análise técnica do ransomware feita pela Morphisec também inclui indicadores de comprometimento. Isso é especialmente útil, porque os desenvolvedores continuam a melhorar as capacidades antidetecção do malware.
Duas amostras de cigarras que estiveram ativas nas últimas duas semanas mostram uma varredura estática de 0 no VirusTotal – o que significa que nenhum fornecedor sinalizou o arquivo como malicioso – e 1, que foi recentemente sinalizado por CrowdStrike Falcon.
Uma amostra de um mês mostra 24 detecções. Entre 4 e 7 de agosto – durante os quais vários produtos de endpoint de fornecedores começaram a sinalizar o malware – os desenvolvedores aumentaram o tamanho do ransomware de cerca de 7 MB para 17 MB, de acordo com o CTO da Morphisec, Michael Gorelik. Ele disse O Registro que esse “pode ser um dos desafios” da detecção.
Além disso, os desenvolvedores misteriosos “mudaram de 64 bits para 32 bits e mudaram algumas seções, ao mesmo tempo em que introduziram alguma ofuscação adicional”, acrescentou Gorelik.
“Parece que eles ou outra pessoa estavam carregando muitos pedaços de amostras antigas para testar a detecção. Possivelmente eles estavam trabalhando durante o mês passado na redução da detecção estática, e parece que isso funcionou para eles”, disse ele.
A Morphisec detectou o malware em um dos ambientes de seus clientes na semana passada, depois que o ransomware contornou um produto de detecção e resposta de endpoint “líder” não identificado. Os pesquisadores também descobriram o ransomware usando o EDRSandBlast – uma ferramenta que detecta o comportamento de monitoramento por ferramentas de detecção e resposta de endpoint – que é frequentemente usada para adulterar produtos de segurança de endpoint.
PMEs na mira
Desde 18 de junho, o Cicada infectou pelo menos 13 pequenas e médias empresas, cinco organizações de médio porte e três empresas na América do Norte e Inglaterra, escreveu Gorelik em uma postagem de terça-feira. Os invasores que implantaram o código buscavam pagamento em Bitcoin e Monero.
“Com a visibilidade limitada que os pesquisadores da Morphisec têm atualmente, parece que o ransomware Cicada3301 tem como alvo principal pequenas e médias empresas (PMEs), provavelmente por meio de ataques oportunistas que exploram vulnerabilidades como vetor de acesso inicial”, ele observado.
Enquanto isso, os caçadores de ameaças da Truesec anteriormente observado que o primeiro despejo de dados sobre o grupo por trás do site de vazamento Cicada3301 é datado de 25 de junho. Quatro dias depois, a equipe convidou afiliados para se juntarem à sua plataforma de ransomware como serviço.
O momento da estreia do Cicada3301 é significativo, dado que os operadores do BlackCat – uma organização conhecida como ALPHV – são de grande interesse para os investigadores, uma vez que o ransomware foi infamemente usado para aleijar Farmácias e hospitais dos EUA que usaram os serviços de seguro e cobrança da Change Healthcare no início deste ano.
Antes do ataque à Change Healthcare, em dezembro de 2023, uma operação liderada pelo FBI apreendido Os sites da ALPHV/BlackCat e lançaram uma ferramenta de descriptografia.
Então, em março, após uma afiliada trancado Sistemas de TI da Change, ALPHV puxou um golpe de saída logo após o resgate ter sido supostamente pago.
Atualizar o BlackCat para o Cicada3301 com melhor evasão de EDR – e uma reformulação da marca – pode ter sido uma jogada para manter a equipe criminosa no mercado. ®