网络安全研究人员解开了一种名为 Cicada3301 的新勒索软件变体的内部工作原理,该变体与现已解散的 BlackCat(又名 ALPHV)操作有相似之处。
“Cicada3301 勒索软件似乎主要针对中小型企业 (SMB),可能是通过利用漏洞作为初始访问媒介的机会主义攻击,”网络安全公司 Morphisec 在与 The Hacker News 分享的一份技术报告中表示。
Cicada3301 用 Rust 编写,能够针对 Windows 和 Linux/ESXi 主机,于 2024 年 6 月首次出现,通过 RAMP 地下论坛上的广告邀请潜在的附属公司加入他们的勒索软件即服务 (RaaS) 平台。
勒索软件的一个值得注意的方面是可执行文件嵌入了受感染用户的凭据,然后使用这些凭据来运行 PsExec,这是一种可以远程运行程序的合法工具。
Cicada3301 与 BlackCat 的相似之处还延伸到它使用 ChaCha20 进行加密,使用 fsutil 来评估符号链接和加密重定向文件,以及IISReset.exe停止 IIS 服务和加密可能被锁定以进行修改或删除的文件。
与 BlackCat 的其他重叠包括删除卷影副本、通过操作 bcdedit 实用程序禁用系统恢复、增加 MaxMpxCt 值以支持更高的流量(例如,SMB PsExec 请求)以及使用 wevtutil 实用程序清除所有事件日志。
Cicada3301 还观察到停止本地部署的虚拟机 (VM),这是 Megazord 勒索软件和燕螺王勒索软件之前采用的行为,并终止了各种备份和恢复服务和包含数十个进程的硬编码列表。
除了在加密过程中维护排除文件和目录的内置列表外,勒索软件还针对总共 35 个文件扩展名 – sql、doc、rtf、xls、jpg、jpeg、psd、docm、xlsm、ods、ppsx、png、raw、dotx、xltx、pptx、ppsm、gif、bmp、dotm、xltm、pptm、odp、webp、pdf、odt、xlsb、ptox、mdf、tiff、docx、xlsx、xlam、 potm 和 txt 的
Morphisec 表示,其调查还发现了 EDRSandBlast 等其他工具,这些工具将易受攻击的签名驱动程序武器化以绕过 EDR 检测,BlackByte 勒索软件组织过去也采用了这种技术。
这些发现是在 Truesec 对 Cicada3301 的 ESXi 版本的分析之后得出的,同时还发现有迹象表明该组织可能与 Brutus 僵尸网络的运营商合作,以获得对企业网络的初始访问权限。
“无论 Cicada3301 是 ALPHV 的更名,他们拥有与 ALPHV 相同的开发人员编写的勒索软件,或者他们只是复制了 ALPHV 的一部分来制作自己的勒索软件,时间线表明 BlackCat 的消亡和首先是 Brutus 僵尸网络的出现,然后是 Cicada3301 勒索软件操作,可能都可能是相互关联的,“该公司指出。
针对 VMware ESXi 系统的攻击还需要使用间歇性加密来加密大于设定阈值 (100 MB) 的文件,并使用名为“no_vm_ss”的参数来加密文件,而不会关闭主机上运行的虚拟机。
Cicada3301 的出现也促使涉足“神秘”密码谜题的同名“非政治运动”发表声明,称它与勒索软件计划无关。