一种名为 Cicada3301 的新型勒索软件即服务 (RaaS) 操作已出现在威胁环境中,并且已经针对数十家公司。
Cicada3301 是出现在威胁环境中的一种新的勒索软件即服务 (RaaS) 操作。该组织似乎非常活跃,自 6 月中旬以来已经在其勒索门户网站上列出了 23 名受害者。下图显示了该团伙在其暗网泄漏网站上发布的受害者名单。
Cicada 3301 是 2012 年至 2014 年间在网上以“3301”为名发布的三组谜题的名称。第一个拼图于 2012 年 1 月 4 日在 4chan 上开始,运行了近一个月。第二轮谜题在一年后的 2013 年 1 月 4 日开始,然后在 2014 年 1 月 4 日在 Twitter 上发布的新线索得到确认后开始第三轮谜题。第三个谜题还没有解开。其明确意图是通过提出一系列有待解决的谜题来招募“聪明人”;2015 年 1 月 4 日没有发布新的谜题。
但是,该操作似乎与 Cicada3301 没有任何联系。
自 6 月以来,Cicada3301 背后的运营商开始在 RAMP 网络犯罪论坛上招募附属公司。
Cicada3301 勒索软件是用 Rust 编写的,以 Windows 和 Linux/ESXi 主机为目标。Truesec 研究人员剖析了一种针对 VMware ESXi 系统的变体,该变体似乎是适用于 Windows 的相同恶意软件的一个版本。专家指出,虽然许多勒索软件组织现在都以 ESXi 系统为目标,但只有少数组织,包括现已解散的 BlackCat/ALPHV 组织,使用了基于 Rust 的勒索软件。分析显示 Cicada3301 的勒索软件与 ALPHV 勒索软件之间存在显着相似之处。
“Cicada3301 勒索软件与 ALPHV 勒索软件有几个有趣的相似之处。”报道Truesec 的
- 两者都是用 Rust 编写的
- 两者都使用 ChaCha20 进行加密
- 两者都使用几乎相同的命令来关闭 VM 和删除快照[1]
- 两者都使用 –ui 命令参数来提供加密的图形输出
- 两者都使用相同的约定来命名文件,但将 “RECOVER-”ransomware extension“-FILES.txt” 改为 “RECOVER-”ransomware extension“-DATA.txt”[2]
- 如何使用 key 参数解密勒索软件说明
Cicada3301 组织的最初攻击始于使用被盗或暴力破解的凭据通过 ScreenConnect 登录。勒索软件组织使用的 IP 地址与 Brutus 僵尸网络相关联,这种情况表明两者之间可能存在联系。此时间表与 BlackCat/ALPHV 勒索软件组织的明显退出相吻合,这增加了 Cicada3301 可能是 ALPHV 的品牌重塑、与其开发人员的合作或使用修改后的 ALPHV 代码的单独组织的可能性。
Cicada3301 勒索软件支持多个可配置参数,操作员可以使用这些参数在执行过程中更改其行为。这些参数通过库进行管理,包括以下选项:clap::args
- sleep:将勒索软件的执行延迟指定的秒数。
- ui:展示加密过程的实时进度和统计信息,例如加密的文件数。
-
no_vm_ss:加密 ESXi 主机上的文件,而无需关闭正在运行的虚拟机、使用终端和删除快照。
esxicli
这些功能为勒索软件的运行方式提供了灵活性,可能使其在不同场景中更加有效。
Cicada3301 勒索软件使用 OsRng 随机数生成器生成用于加密的对称密钥。勒索软件使用一个名为 to handle file encryption 的函数。此过程涉及提取存储在二进制文件数据部分中的公有 PGP 密钥,该密钥用于加密生成的对称密钥。encrypt_file
然后,恶意软件会在每个包含加密文件的文件夹中创建一个标题为“RECOVER-[加密文件结尾]-DATA.txt”的注释。该加密针对特定的文件扩展名,主要与文档和图片有关,这表明勒索软件最初旨在针对 Windows 系统,然后才适应 ESXi 主机。
“加密完成后,勒索软件使用提供的 RSA 密钥加密 ChaCha20 密钥,最后将扩展名写入加密文件。添加加密文件扩展名 文件扩展名也与 RSA 加密的 ChaCha20 密钥一起添加到加密文件的末尾。“包括此版本恶意软件