Uma nova operação de ransomware como serviço (RaaS) chamada Cicada3301 surgiu recentemente no cenário de ameaças cibernéticas, já tendo como alvo dezenas de empresas. Desde meados de junho, o grupo responsável pelo Cicada3301 listou 23 vítimas em seu portal de extorsão na Dark Web.

Embora o nome Cicada3301 remeta a uma famosa série online postada entre 2012 e 2014, não há indícios de que o grupo de ransomware esteja diretamente relacionado a essas atividades. Os operadores do Cicada3301 começaram a recrutar afiliados no fórum de crimes cibernéticos RAMP desde junho, ampliando seu alcance e capacidade de ataque.

O ransomware Cicada3301 é escrito em Rust e tem como alvo tanto sistemas Windows quanto hosts Linux/ESXi, com uma variante específica destinada a sistemas VMware ESXi. O que chama a atenção é a semelhança significativa entre o Cicada3301 e o ransomware ALPHV, que agora está inativo. Ambas as variantes de ransomware foram escritas em Rust e utilizam o algoritmo ChaCha20 para criptografia, além de compartilharem comandos quase idênticos para desligar máquinas virtuais e remover snapshots. Outros pontos de similaridade incluem a convenção de nomeação de arquivos de recuperação e o uso de parâmetros de comando para exibir a saída gráfica durante o processo de criptografia.

O ataque inicial do grupo Cicada3301 foi realizado com o uso de credenciais roubadas ou obtidas por força bruta para acessar sistemas via ScreenConnect. O endereço IP associado ao grupo de ransomware está ligado ao botnet Brutus, sugerindo possíveis conexões entre os dois. O Cicada3301 gera uma chave simétrica para criptografia utilizando o gerador de números aleatórios OsRng. O malware usa uma função chamada `encrypt_file` para manejar a criptografia de arquivos. Esse processo envolve a extração de uma chave PGP pública armazenada na seção de dados do binário, que é usada para criptografar a chave simétrica gerada.