Os pesquisadores da Trusec encontraram recentemente um novo grupo de ransomware como serviço chamado Cicada3301. A gangue oferece a seus parceiros uma plataforma dupla de extorsão que inclui um ransomware e um site de vazamento de dados. De acordo com o relatório da pesquisa, ele apareceu pela primeira vez em junho de 2024 e é especializado em hosts Windows e Linux ESXi.
Leia também
Forças da lei derrubam operação de DDoS as a service
‘Eldorado’ é novo ransomware as a service
Em sua análise, os pesquisadores de segurança descobriram que o grupo tem semelhanças com a agora extinta gangue cibernética AlphV (também conhecida como BlackCat): “O ransomware para ambos está escrito em Rust e ambos usam ChaCha20 para criptografia. Além disso, os comandos para desligar VMs e remover instantâneos são quase idênticos e ambos usam um parâmetro -ui para gerar um gráfico durante a criptografia.”
No ataque investigado pelos pesquisadores, os hackers usaram credenciais de login válidas do ScreenConnect para a violação inicial. O endereço IP dos criminosos pode ser rastreado até uma botnet chamada “Brutus”. De acordo com o relatório, o Brutus está vinculado a uma campanha maior de preenchimento de credenciais em vários programas VPN, incluindo o ScreenConnect.
Como o endereço IP foi descoberto apenas algumas horas antes, os especialistas presumem que os dados de acesso não foram vendidos nesse curto período de tempo. Eles também descobriram outra pista que poderia indicar uma conexão com a gangue AlphV: as atividades do botnet Brutus começaram cerca de duas semanas depois que o AlphV desapareceu de cena com um golpe final.