Come funziona Cicada3301 e il suo programma per gli affiliati

Ott 21, 2024 Approfondimenti, In evidenza, Malware, Minacce, RSS

Di recente il team di Group-IB è riuscito a ottenere accesso al pannello degli affiliati di Cicada3301, un ransomware-as-a-service scoperto lo scorso giugno che ha colpito numerose realtà dei settori critici, soprattutto negli Stati Uniti e nel Regno Unito. Da giugno, il gruppo ha preso di mira 30 organizzazioni in soli tre mesi e ha pubblicato sul proprio sito i dati sottratti.

Il gruppo ha cominciato a cercare affiliati (pentester e access broker) sul forum RAMP del dark web poco prima di cominciare le sue operazioni. Coloro che vogliono  diventare affiliati del gruppo devono prendere parte a una piccola intervista; inoltre, la richiesta è di non colpire i Paesi della Comunità degli Stati Indipendenti. I cybercriminali dietro Cicada3301 chiedono inoltre un 20% del riscatto ottenuto dalle vittime.

Il ransomware, scritto in Rust, può essere eseguito su Windows, Linux, ESXi e NAS. Il malware usa ChaCha20 e RSA per la cifratura; questa operazione può essere eseguita in tre diverse modalità (Completa, Veloce, Automatica) e permette di cifrare sia totalmente che parzialmente i file per ottimizzare la velocità e l’impatto dell’attacco.

Il team di Group-IB è riuscito a ottenere l’accesso al pannello degli affiliati e approfondire le funzionalità del ransomware. Dall’interfaccia web del ransomware gli affiliati possono accedere a chat, canali di supporto e visualizzare gli account di sub-affiliati. L’interfaccia consente di costruire un locker personalizzato, generare una landing page, personalizzare le note di riscatto e il file storage per i dati sottratti.

Il pannello contiene anche una dashboard con informazioni quali il numero di compagnie attaccate, i dettagli di fingerprinting e il numero di login falliti o di successo. C’è inoltre una sezione “Notizie” dove il gruppo di Cicaca3001 pubblica eventuali aggiornamenti sul programma, la sezione “Compagnie” dove gli affiliati possono aggiungere le vittime da colpire e i dettagli dell’attacco e la sezione “FAQ” che specifica regole e linee guida per l’uso della piattaforma.

Il flusso d’attacco di Cicada3301

Una volta infiltrato il sistema target, nel caso di sistema operativo Windows il ransomware disabilita l’esecuzione automatica di Windows Recovery Environment, cancella le copie shadow e pulisce il log degli eventi. Subito dopo, il malware interrompe processi e servizi in esecuzione, comprese le macchine virtuali. Infine, viene eseguito il locker per cominciare la cifratura dei file.

Nel caso della variante Linux, il ransomware esclude dalla cifratura i file .lock e .tml e quelli che si trovano nelle cartelle /etc, /run, /usr, /sys, /dev, /bin, /lib, /boot, /snap, /proc, /sbin, /lib64, /cdrom. Per i sistemi ESXi, invece, il ransomware per prima cosa elimina tutte le macchine virtuali in esecuzione e cancella tutti gli snapshot.

Il team di Group-IB sottolinea che Cicada3301, con  il suo programma di affiliati, si è confermato come una delle minacce più significative degli ultimi mesi. “Le loro operazioni sono caratterizzate da tattiche aggressive progettate per massimizzare l’impatto, come l’interruzione dei servizi essenziali, l’arresto delle macchine virtuali e la crittografia dei dati su varie piattaforme e condivisioni di rete“.

Visto l’aumento del numero di minacce ransomware e della loro pericolosità, i ricercatori di Group-IB ricordano alle aziende di implementare l’MFA per gli asset critici e scegliere soluzioni di EDR e XDR per identificare la presenza di malware il prima possibile. È inoltre indispensabile avere una strategia di backup robusta, mantenere aggiornati i software e investire sulla formazione dei dipendenti.

• affiliati, Cicada3301, cifratura, Ransomware, ransomware-as-a-service, riscatto