Palo Alto Networks detalla el nuevo grupo ‘Repellent Scorpius’ que distribuye el ransomware Cicada3301

Un nuevo informe publicado hoy por la Unidad 42 de Palo Alto Networks Inc. detalla un nuevo grupo de ransomware como servicio con una operación de extorsión múltiple que está reclutando activamente nuevos afiliados.

Llamado «Repellent Scorpius», el grupo RaaS apareció por primera vez en mayo y distribuyó el ransomware Cicada3301. El ransomware como servicio es un modelo común en el mundo del ransomware en el que los creadores lo alquilan a afiliados, quienes luego lo utilizan para llevar a cabo ataques a cambio de una parte de las ganancias de los pagos exitosos.

Al igual que Repellent Scorpius, el ransomware Cicada3301 también es relativamente nuevo y fue detallado por la firma de seguridad de terminales Morphisec Inc. a principios de este mes. Está escrito en el lenguaje de programación Rust y lleva el nombre del rompecabezas Cicada, un rompecabezas complejo relacionado con la resolución de problemas cibernéticos. El informe de Morphisec señaló que la identidad de la persona que lo diseñó está «envuelta en un misterio», pero señaló que puede tener vínculos con la infame familia de ransomware BlackCat.

Una semana después, aún no está claro quién está detrás de Cicada3301, pero según el informe de hoy, ahora sabemos quién es su principal distribuidor.

Los investigadores de la Unidad 42 profundizaron en los aspectos técnicos del ransomware y las tácticas, técnicas y procedimientos utilizados por el grupo. Al igual que otros grupos anteriores, Repellent Scorpius utiliza un ataque de doble toque, en el que los datos se cifran y se roban. Esto permite al grupo vencer a las víctimas no sólo ofreciéndoles una clave de descifrado sino también amenazándolos con publicar los datos robados si no se paga el rescate.

Curiosamente, sin embargo, el informe encuentra que las actividades de Repellent Scorpius precedieron a la aparición de Cicada3301. Si bien Cicada3301 apareció por primera vez en el último mes o dos, la Unidad 42 estima que Repellent Scorpius comenzó sus operaciones por primera vez en mayo, y la actividad en el lugar de la fuga se observó por primera vez en junio.

La investigación también encontró que el grupo obtuvo datos en incidentes de compromiso más antiguos, y señaló que no está claro si esto significa que los actores de la amenaza han trabajado anteriormente usando una marca diferente de ransomware o si no heredan datos de otros grupos de ransomware.

Sin embargo, donde los posibles vínculos cierran el círculo es cuando una dirección IP utilizada por el grupo ha sido vinculada previamente a otros grupos de ransomware, entre ellos Ambitious Scorpius, mejor conocido como ALPHN/BlackCat.

El informe no establece ningún otro vínculo entre BlackCat y Repellent Scorpius, pero quizás sea más que una coincidencia que los grupos compartieran una dirección IP en los ataques, dado el informe anterior de Morphisec que indicaba que Cicada3301 posiblemente tenga vínculos con BlackCat.

Conectando algunos puntos, es posible que aquellos detrás de Repellent Scorpius estuvieran previamente involucrados o vinculados a BlackCat, ya que las escisiones y los nuevos grupos disidentes son comunes en el mundo del ransomware.

Quienquiera que esté detrás de Scorpius Repellent y Cicada3301, una conclusión clave del informe es una advertencia de que los investigadores creen que probablemente habrá un aumento en futuros ataques del grupo, ya que está reclutando activamente afiliados y corredores de acceso inicial. «Podemos esperar ver a los atacantes publicar una lista cada vez mayor de incidentes activos y víctimas en su sitio de filtración en un futuro próximo», concluyen los investigadores.

Imagen: SiliconANGLE/Ideograma