Windows e Linux sono vulnerabili al ransomware Cicada3301, stranamente familiare

Un pezzo relativamente nuovo di ransomware, chiamato Cicada3301, è stato analizzato in dettaglio dai ricercatori di cybersicurezza, e i risultati rivelano sorprendenti richiami a famigerati attacchi del recente passato. Cicada3301 è in grado di colpire i sistemi basati su Linux e Windows.

Questo nuovo malware assomiglia a BlackCat, il ransomware utilizzato nell'attacco del 2021 alla Colonial Pipeline. Il fattore unico è che Cicada3301 utilizza un duplice approccio per indurre le vittime a pagare: non solo i file vengono crittografati, ma vengono anche impacchettati e divulgati se non viene effettuato il pagamento.

Cicada3301 è stato individuato per la prima volta nel giugno del 2024, quando la prima fuga di dati di una vittima è apparsa sul sito dedicato creato dai suoi creatori. In seguito, i creatori si sono recati su un forum russo del dark web chiamato RAMP con l'obiettivo di sollecitare gli affiliati. Hanno proposto Cicada3301 come servizio, offrendo di attaccare obiettivi selezionati a un prezzo. Questo modello, chiamato ransomware-as-a-service, ha guadagnato popolarità tra i cattivi attori negli ultimi anni.

Le vittime troveranno i loro sistemi in gran parte immuni agli sforzi tradizionali utilizzati per arginare attacchi ransomware grazie a un abile mix di tattiche integrate in Cicada3301. Saranno invece accolte da un unico file di testo che offre istruzioni per salvare i loro file dalla fuga di notizie. Secondo il file di testo, il gruppo dietro questo attacco include un'offerta per rafforzare la sicurezza delle vittime per prevenire attacchi simili in futuro, oltre a un'assistenza continua, nel caso in cui la vittima decida di pagare.

Il sito web e le risorse utilizzate dal gruppo dietro l'attacco del 2021 sono stati infine sequestrati dalle autorità statunitensi. Si ritiene che il gruppo abbia cessato le attività, ma le somiglianze tra Cicada3301 e BlackCat e il suo rebrand, ALHPV, sono numerose.

Cicada3301 è stato scritto nel linguaggio di programmazione Rust, che lo rende versatile, efficiente ed estensibile, ma questo potrebbe essere considerato come una mera evoluzione della tendenza stabilita da BlackCat; fino a quell'attacco, il ransomware scritto in Rust era estremamente raro, e il più delle volte si trattava di una mera prova di concetto mostrata dagli hacker white hat sul web.

Oltre a utilizzare lo stesso linguaggio di programmazione e la stessa struttura generale di attacco, Cicada3301 utilizza metodi di decriptazione simili, e molti comandi scritti nel nuovo malware sono esattamente gli stessi delle chiamate di funzione presenti in BlackCat. In entrambi gli attacchi, le credenziali utente legittime vengono ottenute attraverso qualsiasi mezzo disponibile, spesso l'ingegneria sociale, e utilizzate per ottenere l'accesso al sistema di destinazione.

Da lì, entrambi gli attacchi utilizzano chiamate quasi identiche per fare cose come telefonare a casa, criptare e decriptare file, visualizzare messaggi e altro ancora. Cicada3301, tuttavia, è dotato di alcuni nuovi trucchi. Il principale è la capacità di impedire alle macchine esterne, comprese quelle virtuali, di accedere ai file e ai sistemi crittografati.

A settembre del 2024, tutte le risorse collegate a Cicada3301 sono apparentemente ancora attive e non sono stati segnalati attori malintenzionati collegati a questo progetto che si siano dimessi o siano stati arrestati. È possibile che il nuovo ransomware sia la creazione di uno o più membri del team degli attacchi BlackCat, o di un gruppo rivale che ha copiato gran parte del codice di BlackCat prima che si oscurasse.