Nel panorama attuale della sicurezza informatica, è emerso un nuovo ransomware basato su Rust, chiamato Cicada3301, che prende di mira sia i sistemi Windows che Linux. Questo ransomware presenta molte somiglianze con l'ormai defunta operazione BlackCat (nota anche come ALPHV). Secondo un rapporto tecnico condiviso dalla società di sicurezza informatica Morphisec, Cicada3301 sembra puntare principalmente alle piccole e medie imprese (PMI) attraverso attacchi opportunistici che sfruttano vulnerabilità come vettore di accesso iniziale.

Cicada3301 è scritto in Rust e ha la capacità di colpire non solo i sistemi Windows, ma anche gli host Linux e ESXi. La sua prima apparizione risale a giugno 2024, quando è stato promosso come piattaforma ransomware-as-a-service (RaaS) tramite un annuncio sul forum sotterraneo RAMP. Una caratteristica notevole di Cicada3301 è che l'eseguibile incorpora le credenziali compromesse dell'utente, utilizzate poi per eseguire PsExec, uno strumento legittimo che consente di eseguire programmi da remoto.

Le somiglianze con BlackCat non si fermano qui. Cicada3301 utilizza ChaCha20 per la crittografia, fsutil per valutare i collegamenti simbolici e crittografare i file reindirizzati, oltre a IISReset.exe per fermare i servizi IIS e crittografare i file che altrimenti sarebbero bloccati per la modifica o l'eliminazione. Inoltre, il ransomware adotta tecniche per eliminare le copie shadow, disabilitare il ripristino del sistema manipolando l'utilità bcdedit, aumentare il valore MaxMpxCt per supportare volumi di traffico più elevati e cancellare tutti i log eventi utilizzando l'utilità wevtutil.

Un'altra peculiarità di Cicada3301 è la sua capacità di interrompere le macchine virtuali (VM) localmente distribuite, un comportamento già osservato nei ransomware Megazord e Yanluowang. Inoltre, il ransomware termina vari servizi di backup e recupero e una lista di decine di processi codificati. Durante il processo di crittografia, mantiene una lista integrata di file e directory escluse e prende di mira un totale di 35 estensioni di file, tra cui sql, doc, rtf, xls, jpg, e molte altre.

Morphisec ha anche scoperto strumenti aggiuntivi come EDRSandBlast, che sfruttano un driver firmato vulnerabile per bypassare le rilevazioni dei sistemi di rilevamento e risposta degli endpoint (EDR), una tecnica adottata in passato dal gruppo di ransomware BlackByte. Le analisi di Truesec sull'ESXi versione di Cicada3301 suggeriscono che il gruppo potrebbe aver collaborato con gli operatori del botnet Brutus per ottenere l'accesso iniziale alle reti aziendali.

Anche se non è chiaro se Cicada3301 sia una nuova incarnazione di ALPHV, scritto dallo stesso sviluppatore o semplicemente copiato in parte, la tempistica della scomparsa di BlackCat e l'emergere prima del botnet Brutus e poi del ransomware Cicada3301 suggeriscono una possibile connessione tra questi eventi.