Aviso sobre amenazas de ciberseguridad:

Aviso sobre amenazas de ciberseguridad:

 Cicada3301 Ransomware

Se ha descubierto una nueva variante de Ransomware conocida como Cicada3301. Presenta similitudes con la operación extinta de BlackCat (ALPHV) y ataca tanto a los sistemas Windows como a Linux.

¿Cuál es la amenaza?

Cicada3301 cuenta con sofisticadas técnicas de evasión, como evitar los sistemas de detección y respuesta de endpoints (EDR) y usar credenciales robadas para obtener acceso a los entornos de las víctimas. Este Ransomware se dirige especialmente a los servidores VMware ESXi, que las empresas suelen utilizar para alojar maquinas virtuales y aplicaciones críticas.

El ataque suele comenzar con el uso de credenciales robadas, que suelen obtenerse mediante campañas de phishing o aprovechando políticas de contraseñas débiles. Una vez que los atacantes obtienen acceso inicial a la red de la víctima, implementan el Ransomware Cicada3301, de modo que pueden desactivar o alterar el software de seguridad, lo que dificulta que las defensar tradicionales detecten su presencia.

Cicada 3301 se propaga lateralmente por la red, utilizando herramientas como PsExce o aprovechando vulnerabilidades para pasar de un sistema a otro. Luego procede a cifrar archivos, haciéndolos inaccesibles para la víctima. En el caso de los servidores VMware ESXi, el Ransomware ataca específicamente los archivos de las maquinas virtuales, lo que paraliza de esta manera efectiva la capacidad de una organización para operar. Los atacantes exigen un rescate por las claves de descifrado y, a menudo, amenazan con filtrar los datos robados si el rescate sigue sin pagarse.

¿Por qué es de relevancia?

Su uso del lenguaje de programación Rust lo hace muy versátil. Es capaz de atacar múltiples sistemas operativos, lo que aumenta su potencial de impacto. Además, sus técnicas avanzadas de evasión, incluida la capacidad de eludir los sistemas EDR, representan una evolución significativa en las tácticas del Ransomware, lo que dificulta su detección y por ende el detenerlos se complica aun mas por parte de las medidas de seguridad tradicionales.

La capacidad del Ransomware para modificar las configuraciones del sistema, como los datos de configuración de arranque (BCD) en Windows, complica aun mas los esfuerzos de recuperación. Al alterar estas configuraciones, Cicada3301 garantiza que los sistemas infectados permanezcan inaccesibles incluso después de un reinicio. Esto hacer que sea difícil para las victimas recuperar el control sin pagar el rescate. Por último, su objetivo en los servidores VMware ESXi destaca un cambio en el enfoque del Ransomware en la infraestructura que es critica para las operaciones comerciales, lo que aumenta el daño potencial de los ataques exitosos.

¿Cuál es el riesgo?

La capacidad del Ransomware para evadir la detección y atacar los sistemas de alto valor aumenta la probabilidad de una interrupción operativa significativa y perdida de datos. Las organizaciones comprometidas por Cicad3301 pueden experimentar costosos tiempos de inactividad, filtraciones de datos y posibles perdidas financieras por el pago de rescates. El uso generalizado de credenciales robadas también aumenta el riesgo de que este Ransomware se propague rápidamente dentro de una red, afectando a múltiples sistemas y aumentando el impacto general.

Recomendaciones

Se recomienda encarecidamente realizar las siguientes acciones para tomar medidas con las cuales defender sus equipos contra esta amenaza:

  • Utilice autenticación multifactorial (MFA).
  • Limita el acceso a sistemas críticos para reducir el riesgo de que se utilicen credenciales robadas para obtener acceso no autorizado.
  • Implemente soluciones EDR avanzadas que puedan detectar y responder a técnicas de evasión sofisticadas.
  • Mantén los sistemas actualizados con los últimos parches de seguridad.
  • Segmenta las redes para limitar el movimiento lateral de Ransomware dentro de una organización.
  • Es necesario realizar copias de seguridad cifradas con regularidad y almacenarlas sin conexión para permitir la recuperación en caso de un ataque sin necesidad de pagar un rescate.

Acércate a nosotros para brindarte más información de nuestro programa de canales:  

JR

Regresar al blog