本文来自微信公众号“ 嘶吼专业版”,作者/胡金鱼。
一个名为 Cicada3301 的新勒索软件即服务 (RaaS) 行动迅速在全球发起了网络攻击,已在其勒索门户网站上列出了 19 名受害者。
这项新的网络犯罪行动以游戏命名,该游戏涉及复杂的加密谜题,并使用相同的徽标在网络犯罪论坛上进行推广。然而,其实两者之间没有任何联系。
Cicada3301 RaaS 已于 2024 年 6 月 在勒索软件和网络犯罪论坛 RAMP 的论坛帖子中首次开始推广该行动并招募会员。
然而,外媒早已注意到 Cicada 攻击,这表明该团伙在试图招募分支机构之前是独立运作的。
Cicada3301 勒索软件运营商在 RAMP 论坛上寻找附属机构
与其他勒索软件操作一样,Cicada3301 采取双重勒索策略,即入侵公司网络、窃取数据,然后加密设备。然后利用加密密钥和泄露被盗数据的威胁作为手段,恐吓受害者支付赎金。
威胁者运营一个数据泄露网站,将其用作双重勒索计划的一部分。
Cicada3301 勒索门户
Truesec 对新恶意软件的分析显示,Cicada3301 与 ALPHV/BlackCat 之间存在显著的重叠,表明可能是由前 ALPHV 核心团队成员创建的品牌重塑或分叉。
这是基于以下事实:
·两者都是用 Rust 编写的。
·两者都使用 ChaCha20 算法进行加密。
·两者都使用相同的 VM 关闭和快照擦除命令。
·两者都使用相同的用户界面命令参数、相同的文件命名约定和相同的勒索信解密方法。
·两者都对较大的文件使用间歇性加密。
具体来说,ALPHV 在 2024 年 3 月初实施了一次退出骗局,涉及虚假声称 FBI 正在进行的打击行动,此前他们从 Change Healthcare 的一家附属公司窃取了 2200 万美元的巨额付款。
Truesec 还发现有迹象表明,Cicada3301 勒索软件行动可能与 Brutus 僵尸网络合作或利用该网络对企业网络进行初始访问。该僵尸网络之前曾与针对思科、Fortinet、Palo Alto 和 SonicWall 设备的全球规模 VPN 暴力破解活动有关。
值得注意的是,Brutus 活动是在 ALPHV 关闭运营两周后首次发现的,因此从时间线来看,这两个组织之间的联系仍然存在。
VMware ESXi 面临另一个威胁
Cicada3301 是一款基于 Rust 的勒索软件,同时具有 Windows 和 Linux/VMware ESXi 加密器。作为 Truesec 报告的一部分,研究人员分析了勒索软件操作的 VMWare ESXi Linux 加密器。
与 BlackCat 和其他勒索软件系列(如 RansomHub)一样,必须输入特殊密钥作为命令行参数才能启动加密器。此密钥用于解密加密的 JSON blob,其中包含加密器在加密设备时将使用的配置。
Truesec 表示,加密器会使用密钥解密勒索信来检查密钥的有效性,如果成功,则继续执行其余的加密操作。
其主要功能(linux_enc)使用 ChaCha20 流密码进行文件加密,然后使用 RSA 密钥加密过程中使用的对称密钥。加密密钥是使用“OsRng”函数随机生成的。
Cicada3301 针对与文档和媒体文件匹配的特定文件扩展名,并检查其大小以确定在哪里应用间歇性加密(> 100MB)以及在哪里加密整个文件内容(<100MB)。
在加密文件时,加密器会在文件名后附加一个随机的七个字符的扩展名,并创建名为“RECOVER-[扩展名]-DATA.txt”的勒索信,如下所示。
值得注意的是,BlackCat/ALPHV 加密器也使用了随机的七个字符的扩展名和名为“RECOVER-[扩展名]-FILES.txt”的勒索信。
Cicada3301 勒索信
勒索软件的操作员可以设置休眠参数来延迟加密器的执行,从而可能逃避立即检测。“no_vm_ss”参数还命令恶意软件加密 VMware ESXi 虚拟机而不尝试先关闭它们。
但是,默认情况下,Cicada3301 首先使用 ESXi 的“esxcli”和“vim-cmd”命令关闭虚拟机并删除其快照,然后再加密数据。
Cicada3301 的成功率表明攻击者经验丰富,且目的明确清晰。这进一步支持了 ALPHV 重启的假设,或者至少利用了具有勒索软件经验的关联方。
新勒索软件专注于 ESXi 环境,凸显了其战略设计,旨在最大限度地破坏企业环境,而许多威胁者现在将企业环境作为获利目标。
Cicada3301 将文件加密与破坏虚拟机操作和删除恢复选项的能力相结合,确保可以发起影响整个网络和基础设施的高影响力攻击,从而最大限度地给受害者施加压力。