Windows i Linux podatne na dziwnie znajome oprogramowanie ransomware Cicada3301

Stosunkowo nowe oprogramowanie ransomware o nazwie Cicada3301 zostało szczegółowo przeanalizowane przez badaczy cyberbezpieczeństwa, a wyniki ujawniają zaskakujące nawiązania do niesławnych ataków z niedawnej przeszłości. Cicada3301 jest w stanie atakować systemy Linux i Windows.

To nowe złośliwe oprogramowanie wykazuje podobieństwo do BlackCat, oprogramowania ransomware wykorzystanego w ataku na The Colonial Pipeline w 2021 roku Colonial Pipeline. Unikalnym czynnikiem jest to, że Cicada3301 stosuje dwutorowe podejście, aby zmusić ofiary do zapłaty; pliki są nie tylko szyfrowane, ale także pakowane i wyciekają, jeśli płatność nie zostanie dokonana.

Cicada3301 została po raz pierwszy wykryta w czerwcu 2024 roku, kiedy to pierwszy wyciek danych ofiary pojawił się na dedykowanej stronie utworzonej przez jej twórców. Później przenieśli się oni na rosyjskie ciemne forum internetowe o nazwie RAMP w celu pozyskania partnerów. Oferowali Cicada3301 jako usługę, oferując atakowanie wybranych celów za określoną cenę. Model ten, zwany ransomware-as-a-service, zyskał popularność wśród złych aktorów w ostatnich latach.

Ofiary przekonają się, że ich systemy są w dużej mierze odporne na tradycyjne wysiłki podejmowane w celu powstrzymania ataków ransomware ataki ransomware dzięki sprytnej mieszance taktyk wbudowanych w Cicada3301. Zamiast tego zostaną powitani przez samotny plik tekstowy oferujący instrukcje, jak uratować swoje pliki przed wyciekiem. Zgodnie z plikiem tekstowym, grupa stojąca za tym atakiem zawiera ofertę zaostrzenia bezpieczeństwa ofiar, aby zapobiec podobnym atakom w przyszłości, a także bieżące wsparcie, jeśli ofiara zdecyduje się zapłacić.

Strona internetowa i zasoby wykorzystywane przez grupę stojącą za atakiem z 2021 r. zostały ostatecznie przejęte przez władze USA. Uważa się, że grupa zaprzestała działalności, ale podobieństwa Cicada3301 do BlackCat i jej rebrandingu, ALHPV, są liczne.

Cicada3301 jest napisana w języku programowania Rust, dzięki czemu jest wszechstronna, wydajna i rozszerzalna, ale można to uznać za jedynie podążanie za trendem ustanowionym przez BlackCat; do czasu tego ataku oprogramowanie ransomware napisane w języku Rust było niezwykle rzadkie i najczęściej było jedynie dowodem koncepcji prezentowanym przez hakerów w białych kapeluszach w sieci.

Poza wykorzystaniem tego samego języka programowania i ogólnej struktury ataku, Cicada3301 wykorzystuje podobne metody deszyfrowania, a wiele poleceń zapisanych w nowym złośliwym oprogramowaniu jest dokładnie takich samych jak wywołania funkcji znalezione w BlackCat. W obu atakach legalne dane uwierzytelniające użytkownika są uzyskiwane za pomocą wszelkich dostępnych środków, często inżynierii społecznej, i wykorzystywane do uzyskania dostępu do systemu docelowego.

Stamtąd oba ataki wykorzystują niemal identyczne wywołania do wykonywania takich czynności, jak telefonowanie do domu, szyfrowanie i odszyfrowywanie plików, wyświetlanie wiadomości i inne. Cicada3301 ma jednak kilka nowych sztuczek. Najważniejszą z nich jest możliwość zatrzymania zewnętrznych maszyn, w tym maszyn wirtualnych, przed dostępem do zaszyfrowanych plików i systemów.

Od września 2024 r. wszystkie zasoby powiązane z Cicada3301 wydają się nadal działać i nie ma doniesień o żadnych złych aktorach z nim związanych, którzy ustąpili lub zostali zatrzymani. Możliwe, że nowe oprogramowanie ransomware jest dziełem jednego lub więcej członków zespołu z ataków BlackCat lub konkurencyjnej grupy, która skopiowała większość kodu BlackCat, zanim zniknęła.