El ransomware Cicada 3301 ataca varios sistemas operativos

ransomware

Periódicamente surgen nuevas amenazas de ransomware. Una de las variantes potencialmente más peligrosas es Cicada 3301, una operación de ransomware que ha llamado la atención por sus sofisticadas técnicas y su inquietante conexión con un movimiento críptico en línea. Detectado por primera vez en junio de 2024, Cicada 3301 Ransomware parece ser un formidable sucesor de grupos de ransomware anteriores como BlackCat (también conocido como ALPHV), heredando y mejorando sus métodos.

¿Qué es Cicada 3301 Ransomware?

Cicada 3301 Ransomware es una nueva cepa de malware que ataca a pequeñas y medianas empresas (PYMES) explotando vulnerabilidades del sistema. Escrito en el lenguaje de programación Rust, este ransomware es altamente adaptable y capaz de atacar sistemas basados en Windows y Linux. Surgió por primera vez en foros clandestinos, donde se invitaba a los afiliados a unirse a su plataforma de ransomware como servicio (RaaS). En este modelo, los cibercriminales pueden arrendar su ransomware a otros atacantes a cambio de una parte de las ganancias.

Una característica distintiva del ransomware Cicada 3301 es su capacidad de incorporar las credenciales de los usuarios afectados en su archivo ejecutable. Esta característica es crucial para propagar el ransomware dentro de una red, ya que aprovecha herramientas legítimas como PsExec, que permite la ejecución remota de programas en sistemas Windows. De esta manera, los atacantes pueden moverse lateralmente por la red de la víctima sin levantar sospechas.

¿Cómo funciona el ransomware?

El ransomware, incluido Cicada 3301, está diseñado para bloquear los archivos de la víctima cifrándolos y luego exigir un pago, generalmente en criptomonedas, para restablecer el acceso. El proceso de cifrado garantiza que los archivos no se puedan utilizar hasta que la víctima pague el rescate o recupere los archivos mediante copias de seguridad, si dichas copias existen y no se han visto comprometidas. En muchos casos, el ransomware también desactiva las herramientas de recuperación del sistema y elimina las copias de seguridad para evitar que la víctima restaure fácilmente sus datos.

El ransomware Cicada 3301 utiliza métodos de cifrado avanzados, en particular el algoritmo de cifrado ChaCha20, que es muy eficaz y difícil de descifrar. Este ransomware también ataca extensiones de archivo específicas, como SQL, DOC, XLS, JPEG y muchas otras, bloqueando documentos empresariales importantes, bases de datos e incluso archivos multimedia personales.

Aquí también está la nota de rescate que deja esta infección:

** Welcome to Cicada3301 **

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

  • Provide you with proof that the data has been stolen;
  • Delete all stolen data;
  • Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/

2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.

¿Qué quiere Cicada 3301?

Como la mayoría de los programas de ransomware, el objetivo principal de Cicada 3301 es obtener ganancias financieras. Al cifrar los datos valiosos de una empresa y detener sus operaciones, los atacantes pueden exigir grandes rescates para restablecer el acceso. Las empresas pequeñas y medianas son particularmente vulnerables porque a menudo carecen de las sólidas defensas de ciberseguridad de las corporaciones más grandes y pueden estar más inclinadas a pagar el rescate para evitar tiempos de inactividad prolongados.

Un aspecto que hace que Cicada 3301 sea especialmente peligroso es su posible colaboración con otros grupos de ciberdelincuentes. Los investigadores han descubierto pruebas que sugieren que los operadores detrás de Cicada 3301 pueden estar trabajando con el grupo de botnets Brutus para obtener acceso inicial a las redes empresariales. Esto sugiere que la operación de ransomware podría ser parte de una estrategia de ataque más grande y coordinada, aumentando su alcance y eficacia.

Técnicas avanzadas utilizadas por Cicada 3301

El ransomware Cicada 3301 comparte muchas similitudes con su predecesor, BlackCat, pero con algunas mejoras clave. Emplea una variedad de tácticas para maximizar el daño y evadir la detección. Por ejemplo, detiene las máquinas virtuales (VM) que se ejecutan en los sistemas del objetivo para garantizar que los datos críticos, incluso los alojados en entornos virtuales, estén cifrados. Esta técnica también se ha observado en otros grupos de ransomware de alto perfil, como Megazord y Yanluowang.

Además, Cicada 3301 toma medidas para desactivar los servicios de copia de seguridad y recuperación del sistema, lo que dificulta que las víctimas recuperen sus datos sin pagar el rescate. Utiliza herramientas como bcdedit para manipular la configuración de recuperación del sistema y wevtutil para borrar todos los registros de eventos, borrando así sus rastros de manera efectiva. Este nivel de sofisticación hace que sea difícil para los equipos de seguridad detectar y responder al ataque en tiempo real.

Un ransomware diseñado para la velocidad y la evasión

Una de las características más innovadoras de Cicada 3301 es el cifrado intermitente. Este método implica el cifrado selectivo de partes de archivos más grandes, lo que reduce el tiempo que lleva bloquear grandes cantidades de datos. Al cifrar únicamente archivos de más de 100 MB, Cicada 3301 puede inutilizar rápidamente grandes bases de datos y otros archivos críticos, lo que impide que las empresas funcionen.

Otra característica única es la capacidad de seguir cifrando archivos incluso mientras se ejecutan las máquinas virtuales, mediante un parámetro llamado "no_vm_ss". Este enfoque permite que el ransomware cifre los datos sin necesidad de apagar las máquinas virtuales, lo que minimiza la interrupción de las operaciones y ayuda a que el ransomware pase desapercibido durante períodos más prolongados.

Cómo protegerse de la cigarra 3301

La aparición del ransomware Cicada 3301 refuerza la necesidad de que las empresas mantengan fuertes defensas de ciberseguridad. El primer paso para defenderse del ransomware es asegurarse de que todo el software, en particular los sistemas operativos y las herramientas de seguridad, estén actualizados. Las vulnerabilidades en el software obsoleto son uno de los puntos de entrada más comunes para los ataques de ransomware.

Además, las organizaciones deben implementar un enfoque de seguridad de múltiples capas que incluya:

  • Copias de seguridad periódicas : asegúrese de realizar copias de seguridad de los datos periódicamente y de almacenarlos en ubicaciones aisladas de la red principal. Esto permitirá a las empresas recuperar sus datos sin tener que pagar el rescate.
  • Segmentación de red : al segmentar sus redes, las organizaciones pueden limitar la propagación del ransomware en caso de que logre infiltrarse en el sistema.
  • Capacitación de empleados : los errores humanos, como hacer clic en un enlace malicioso o descargar un archivo adjunto sospechoso, siguen siendo una de las principales causas de las infecciones por ransomware. La capacitación periódica y las simulaciones de phishing pueden reducir este riesgo.
  • Detección y respuesta en endpoints (EDR) : las soluciones de seguridad avanzadas pueden detectar y mitigar el ransomware antes de que se propague por la red. Algunos ransomware, incluido Cicada 3301, intentan eludir las herramientas EDR, por lo que es fundamental utilizar soluciones sólidas y actualizadas.

La inquietante conexión con el rompecabezas de la cigarra 3301

El ransomware Cicada 3301 comparte su nombre con un enigmático movimiento en línea conocido por crear complejos rompecabezas criptográficos. Sin embargo, el grupo original Cicada 3301 se ha distanciado públicamente de esta operación de ransomware, afirmando que no tiene ninguna afiliación con la actividad delictiva. No está claro si se trata de un intento de los creadores del ransomware de tomar prestado el misterio del grupo original o de una mera coincidencia.

De todas formas, la llegada del ransomware Cicada 3301 marca un nuevo capítulo en la batalla en curso entre los cibercriminales y los profesionales de la ciberseguridad. Al comprender cómo funciona este ransomware y tomar medidas proactivas para defenderse de él, las empresas pueden minimizar el riesgo de convertirse en la próxima víctima.

En Willa
September 5, 2024
Ransomware
Spanish
September 5, 2024
Ransomware

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.