Cicada3301, nuevo virus ransomware basado en Rust que afecta a Windows y Linux
Pocas noticias sobre virus pueden resultar de interés para los usuarios de Linux. La mayorÃa están creados para Windows, y casi todos los que afectan a Linux requieren acceso fÃsico al equipo. Lo primero es algo que no cumple Cicada3301, un virus que apareció por primera vez en junio y que afecta a Windows, hasta aquà todo normal, y a Linux. Lo malo es que por el momento no se conocen los detalles de cómo tiene que ser la infección en Linux. Otros sistemas operativos de escritorio como macOS o BSD no se mencionan en el informe.
Si se sabe que Cicada3301 es tipo «ransomware», según la definición de IBM «un tipo de malware que mantiene como rehenes los datos o el dispositivo de la vÃctima, amenazando con mantenerlos bloqueados, o algo peor, a menos que la vÃctima pague un rescate al atacante». Como ejemplo visual, seguro que conocéis el virus de la policÃa, con el que una vez infectados sólo se veÃa un cartel con información sobre cómo recuperar el equipo, pero era imposible acceder ni recuperar la información sin ciertos conocimientos.
Cicada3301 afecta a pequeñas y medianas empresas
Por lo que parece y como explica Morphisec, Cicada3301 tiene como objetivos a las Pymes (Pequeñas Y Medianas Empresas), probablemente a través de ataques oportunistas que explotan las vulnerabilidades como vector de acceso inicial. Lo anterior, traducido a un lenguaje más accesible podrÃa quedar en que usa una aplicación de facturación pirata como gancho. Eso o algo asÃ. Está escrito en Rust y puede afectar tanto a Windows como a Linux.
Parte de su funcionamiento hace que su ejecutable se incruste en credenciales de usuario comprometidas, que luego son usadas para ejecutar PrExec, una herramienta legÃtima que posibilita la ejecución de programas remotamente. Entre sus capacidades están el cifrado Chacha20, posibilidad de eliminar copias, desactivar la recuperación del sistema y romper las máquinas virtuales — sistemas operativos dentro de sistemas operativos –.
Los tipos de archivos objetivo
Cicada3301 tiene como objetivo un total de 35 extensiones de archivo: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm y txt. La lista anterior se puede resumir hablando de documentos e imágenes, pero cabe destacar también el primero: sql es la extensión de archivos de bases de datos, que quedarÃan inaccesibles tras el cifrado.
«Independientemente de si Cicada3301 es una nueva marca de ALPHV, tienen un ransomware escrito por el mismo desarrollador que ALPHV, o simplemente han copiado partes de ALPHV para hacer su propio ransomware, la lÃnea de tiempo sugiere la desaparición de BlackCat y la aparición de la primera botnet Brutus y luego la operación Cicada3301 ransomware posiblemente todos conectados«, dice Morphisec.
Y es que este nuevo virus ha cogido prestadas ideas de otros que ya se conocÃan, pero no por eso deja de ser peligroso.
¿De dónde sale el nombre de Cicada3301?
Esto me servirá también para explicar la imagen de cabecera. Cicada es un género de cigarras del viejo mundo de la familia de los cicádidos. Eso, y uno de los villanos que aparecen en Flash, el superhéroe velocista de DC Comics. En la serie televisiva aparece en la quinta temporada, y, entre otras cosas, obtiene la energÃa que van dejando todas las personas que Flash ha salvado y el mismo Flash.
¿Hay motivos para preocuparse?
No hay información detallada que nos diga cuántos equipos han sido infectados ni cómo, pero sà se sabe que afecta a sistemas operativos con base Linux. En general, y esto vale para cualquier virus, si no visitamos páginas de dudosa reputación, no deberÃamos coger ningún virus independientemente del sistema operativo que estemos usando. Además, los objetivos son las Pymes.
Para las pequeñas y medianas empresas, un consejo: merece la pena hacer una copiad e seguridad de los documentos importantes en una nube, ya que Cicada3301 no puede llegar allÃ. Sà puede infectar servidores, pero si usamos los de Google, Microsoft o cualquier otra compañÃa importante lo tendrán más difÃcil.