信息化觀察網(wǎng)

本文來(lái)自微信公眾號(hào)“ 嘶吼專業(yè)版”，作者/胡金魚(yú)。

一個(gè)名為 Cicada3301 的新勒索軟件即服務(wù) (RaaS) 行動(dòng)迅速在全球發(fā)起了網(wǎng)絡(luò)攻擊，已在其勒索門(mén)戶網(wǎng)站上列出了 19 名受害者。

這項(xiàng)新的網(wǎng)絡(luò)犯罪行動(dòng)以游戲命名，該游戲涉及復(fù)雜的加密謎題，并使用相同的徽標(biāo)在網(wǎng)絡(luò)犯罪論壇上進(jìn)行推廣。然而，其實(shí)兩者之間沒(méi)有任何聯(lián)系。

Cicada3301 RaaS 已于 2024 年 6 月 在勒索軟件和網(wǎng)絡(luò)犯罪論壇 RAMP 的論壇帖子中首次開(kāi)始推廣該行動(dòng)并招募會(huì)員。

然而，外媒早已注意到 Cicada 攻擊，這表明該團(tuán)伙在試圖招募分支機(jī)構(gòu)之前是獨(dú)立運(yùn)作的。

Cicada3301 勒索軟件運(yùn)營(yíng)商在 RAMP 論壇上尋找附屬機(jī)構(gòu)

與其他勒索軟件操作一樣，Cicada3301 采取雙重勒索策略，即入侵公司網(wǎng)絡(luò)、竊取數(shù)據(jù)，然后加密設(shè)備。然后利用加密密鑰和泄露被盜數(shù)據(jù)的威脅作為手段，恐嚇受害者支付贖金。

威脅者運(yùn)營(yíng)一個(gè)數(shù)據(jù)泄露網(wǎng)站，將其用作雙重勒索計(jì)劃的一部分。

Cicada3301 勒索門(mén)戶

Truesec 對(duì)新惡意軟件的分析顯示，Cicada3301 與 ALPHV/BlackCat 之間存在顯著的重疊，表明可能是由前 ALPHV 核心團(tuán)隊(duì)成員創(chuàng)建的品牌重塑或分叉。

這是基于以下事實(shí)：

·兩者都是用 Rust 編寫(xiě)的。

·兩者都使用 ChaCha20 算法進(jìn)行加密。

·兩者都使用相同的 VM 關(guān)閉和快照擦除命令。

·兩者都使用相同的用戶界面命令參數(shù)、相同的文件命名約定和相同的勒索信解密方法。

·兩者都對(duì)較大的文件使用間歇性加密。

具體來(lái)說(shuō)，ALPHV 在 2024 年 3 月初實(shí)施了一次退出騙局，涉及虛假聲稱 FBI 正在進(jìn)行的打擊行動(dòng)，此前他們從 Change Healthcare 的一家附屬公司竊取了 2200 萬(wàn)美元的巨額付款。

Truesec 還發(fā)現(xiàn)有跡象表明，Cicada3301 勒索軟件行動(dòng)可能與 Brutus 僵尸網(wǎng)絡(luò)合作或利用該網(wǎng)絡(luò)對(duì)企業(yè)網(wǎng)絡(luò)進(jìn)行初始訪問(wèn)。該僵尸網(wǎng)絡(luò)之前曾與針對(duì)思科、Fortinet、Palo Alto 和 SonicWall 設(shè)備的全球規(guī)模 VPN 暴力破解活動(dòng)有關(guān)。

值得注意的是，Brutus 活動(dòng)是在 ALPHV 關(guān)閉運(yùn)營(yíng)兩周后首次發(fā)現(xiàn)的，因此從時(shí)間線來(lái)看，這兩個(gè)組織之間的聯(lián)系仍然存在。

VMware ESXi 面臨另一個(gè)威脅

Cicada3301 是一款基于 Rust 的勒索軟件，同時(shí)具有 Windows 和 Linux/VMware ESXi 加密器。作為 Truesec 報(bào)告的一部分，研究人員分析了勒索軟件操作的 VMWare ESXi Linux 加密器。

與 BlackCat 和其他勒索軟件系列(如 RansomHub)一樣，必須輸入特殊密鑰作為命令行參數(shù)才能啟動(dòng)加密器。此密鑰用于解密加密的 JSON blob，其中包含加密器在加密設(shè)備時(shí)將使用的配置。

Truesec 表示，加密器會(huì)使用密鑰解密勒索信來(lái)檢查密鑰的有效性，如果成功，則繼續(xù)執(zhí)行其余的加密操作。

其主要功能(linux_enc)使用 ChaCha20 流密碼進(jìn)行文件加密，然后使用 RSA 密鑰加密過(guò)程中使用的對(duì)稱密鑰。加密密鑰是使用“OsRng”函數(shù)隨機(jī)生成的。

Cicada3301 針對(duì)與文檔和媒體文件匹配的特定文件擴(kuò)展名，并檢查其大小以確定在哪里應(yīng)用間歇性加密(> 100MB)以及在哪里加密整個(gè)文件內(nèi)容(<100MB)。

在加密文件時(shí)，加密器會(huì)在文件名后附加一個(gè)隨機(jī)的七個(gè)字符的擴(kuò)展名，并創(chuàng)建名為“RECOVER-[擴(kuò)展名]-DATA.txt”的勒索信，如下所示。

值得注意的是，BlackCat/ALPHV 加密器也使用了隨機(jī)的七個(gè)字符的擴(kuò)展名和名為“RECOVER-[擴(kuò)展名]-FILES.txt”的勒索信。

Cicada3301 勒索信

勒索軟件的操作員可以設(shè)置休眠參數(shù)來(lái)延遲加密器的執(zhí)行，從而可能逃避立即檢測(cè)。“no_vm_ss”參數(shù)還命令惡意軟件加密 VMware ESXi 虛擬機(jī)而不嘗試先關(guān)閉它們。

但是，默認(rèn)情況下，Cicada3301 首先使用 ESXi 的“esxcli”和“vim-cmd”命令關(guān)閉虛擬機(jī)并刪除其快照，然后再加密數(shù)據(jù)。

Cicada3301 的成功率表明攻擊者經(jīng)驗(yàn)豐富，且目的明確清晰。這進(jìn)一步支持了 ALPHV 重啟的假設(shè)，或者至少利用了具有勒索軟件經(jīng)驗(yàn)的關(guān)聯(lián)方。

新勒索軟件專注于 ESXi 環(huán)境，凸顯了其戰(zhàn)略設(shè)計(jì)，旨在最大限度地破壞企業(yè)環(huán)境，而許多威脅者現(xiàn)在將企業(yè)環(huán)境作為獲利目標(biāo)。

Cicada3301 將文件加密與破壞虛擬機(jī)操作和刪除恢復(fù)選項(xiàng)的能力相結(jié)合，確保可以發(fā)起影響整個(gè)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施的高影響力攻擊，從而最大限度地給受害者施加壓力。