Cicada3301: Il nuovo ransomware cross-platform che minaccia i sistemi Windows e Linux

Sandro Sana : 23 Ottobre 2024 07:15

Negli ultimi anni, il mondo della criminalità informatica ha assistito all’emergere di nuove minacce sempre più sofisticate, in grado di colpire un’ampia gamma di target. Una delle novità più preoccupanti in questo panorama è il ransomware Cicada3301, recentemente analizzato da diversi esperti di sicurezza informatica, inclusi noi del gruppo Dark Lab di Red Hot Cyber, che abbiamo avuto l’opportunità di intervistare i membri della ransomware gang dietro questa pericolosa minaccia.

L’ascesa di Cicada3301: un ransomware cross-platform

Cicada3301 non è un ransomware qualsiasi. La sua capacità di operare su sistemi Windows e Linux lo rende particolarmente pericoloso, poiché permette ai suoi operatori di colpire un’ampia varietà di infrastrutture IT, incluse quelle che tradizionalmente erano considerate più sicure, come i server Linux. L’adozione di una strategia cross-platform rappresenta un’evoluzione significativa rispetto ai ransomware tradizionali, che spesso si concentrano su una singola piattaforma.

Questa peculiarità si riflette nella struttura stessa del codice malevolo, sviluppato utilizzando linguaggi di programmazione multipiattaforma come GoLang, che consente la compilazione e l’esecuzione su diverse architetture hardware e sistemi operativi. È proprio questo che rende Cicada3301 particolarmente adattabile e letale, consentendogli di attaccare sistemi eterogenei all’interno delle reti aziendali.

Caratteristiche tecniche

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Dal punto di vista tecnico, Cicada3301 si presenta con diverse caratteristiche avanzate. Innanzitutto, il ransomware utilizza algoritmi crittografici di tipo RSA-2048 e AES-256, garantendo un elevato livello di sicurezza nella cifratura dei file. Questo rende virtualmente impossibile, senza la chiave di decrittazione, ripristinare i file colpiti. Una volta eseguito sul sistema bersaglio, Cicada3301 esegue una scansione completa alla ricerca di file di valore, inclusi documenti, database e backup, colpendo anche i file di configurazione critici per il funzionamento dei servizi IT.

Uno degli aspetti più insidiosi è l’utilizzo di tattiche di movimento laterale, che permettono al malware di diffondersi rapidamente all’interno di una rete, infettando più dispositivi. Il ransomware sfrutta vulnerabilità note (CVE) nei servizi di rete e negli applicativi comunemente utilizzati nei sistemi Linux e Windows, aprendo una porta d’ingresso per ulteriori attacchi. Questa capacità di muoversi lateralmente nella rete interna aumenta notevolmente la sua efficacia, rendendo difficile fermare l’infezione una volta avviata.

Inoltre, Cicada3301 incorpora una componente di esfiltrazione dei dati. Prima di cifrare i file, il ransomware invia una copia dei dati più sensibili a server remoti controllati dagli attaccanti, creando una seconda leva per il ricatto: la minaccia di pubblicare o vendere le informazioni rubate nel caso in cui il riscatto non venga pagato. Questa doppia estorsione è una tattica ormai consolidata nelle moderne campagne ransomware.

L’intervista esclusiva di Red Hot Cyber con la gang dietro Cicada3301

Come gruppo Dark Lab di Red Hot Cyber, abbiamo avuto il privilegio di intervistare i membri della gang che si cela dietro Cicada3301. Nel corso dell’intervista, è emerso un quadro inquietante sulle motivazioni e le strategie adottate. La gang ha dichiarato che il loro obiettivo principale non sono solo le grandi corporazioni, ma anche infrastrutture critiche come ospedali, reti energetiche e pubbliche amministrazioni. La loro convinzione è che queste organizzazioni abbiano “fondi sufficienti per pagare”, ma siano anche vulnerabili per via della dipendenza da sistemi legacy e della scarsa sicurezza.

Un altro punto interessante emerso dall’intervista è che Cicada3301 sta cercando di affermarsi come un marchio all’interno del mondo del Ransomware-as-a-Service (RaaS). Offrono infatti il loro malware a affiliati tramite un modello di business che consente ai cyber criminali meno esperti di utilizzare la piattaforma per attacchi ransomware, in cambio di una percentuale sui riscatti ottenuti. Questa struttura decentralizzata permette alla gang di operare su una scala più ampia, aumentando esponenzialmente il numero di vittime potenziali.

Come difendersi da Cicada3301

Per fronteggiare minacce di questo calibro, è essenziale adottare una strategia di sicurezza olistica, che comprenda misure preventive e reattive. Tra le migliori pratiche per ridurre il rischio di infezione da Cicada3301, possiamo suggerire:

1. Aggiornamenti costanti dei sistemi e delle applicazioni per correggere le vulnerabilità conosciute.
2. Segmentazione della rete, per limitare i danni nel caso in cui un dispositivo venga compromesso.
3. Backup regolari dei dati più critici, conservati offline o su piattaforme di storage con accesso limitato.
4. Implementazione di soluzioni avanzate di rilevamento delle minacce, come l’uso di EDR (Endpoint Detection and Response) o XDR, che possono identificare movimenti laterali sospetti all’interno della rete.
5. Formazione continua del personale per prevenire attacchi di phishing e altre tattiche di ingegneria sociale, spesso utilizzate per diffondere ransomware come Cicada3301.

Conclusioni

L’evoluzione del ransomware verso un modello cross-platform come quello di Cicada3301 rappresenta un salto qualitativo che richiede una risposta altrettanto avanzata. Le aziende devono investire in misure di sicurezza proattive e innovative, poiché i criminali informatici, come quelli dietro Cicada3301, continuano a sviluppare nuove tecniche per aggirare le difese tradizionali. Noi di Red Hot Cyber continueremo a monitorare attentamente l’evoluzione di queste minacce, grazie anche alla nostra esperienza sul campo e ai contatti diretti con gli attori del cybercrime.

Questo ransomware è solo l’inizio di un futuro in cui le minacce cross-platform diventeranno sempre più comuni. Prevenire, mitigare e rispondere in modo rapido e preciso sarà la chiave per la sopravvivenza nel panorama digitale moderno.

Sandro Sana
Membro del gruppo di Red Hot Cyber Dark Lab e direttore del Red Hot Cyber PodCast. Si occupa d'Information Technology dal 1990 e di Cybersecurity dal 2014 (CEH - CIH - CISSP - CSIRT Manager - CTI Expert), relatore a SMAU 2017 e SMAU 2018, docente SMAU Academy & ITS, membro ISACA. Fa parte del Comitato Scientifico del Competence Center nazionale Cyber 4.0, dove contribuisce all’indirizzo strategico delle attività di ricerca, formazione e innovazione nella cybersecurity.

Lista degli articoli
Visita il sito web dell'autore