Istraživači cyber sigurnosti otkrili su unutrašnje funkcioniranje nove varijante ransomware-a pod nazivom Cicada3301 koja dijeli sličnosti sa sada nepostojećom operacijom BlackCat (aka ALPHV).
“Čini se da Cicada3301 ransomware prvenstveno cilja na mala i srednja preduzeća (SMB), vjerovatno putem oportunističkih napada koji iskorištavaju ranjivosti kao početni vektor pristupa”, rekla je kompanija za cyber sigurnost Morphisec u tehničkom izvještaju objavljenom za The Hacker News.
Napisana na Rustu i sposobna da cilja i Windows i Linux/ESXi hostove, Cicada3301 se prvi put pojavila u junu 2024., pozivajući potencijalne podružnice da se pridruže njihovoj platformi ransomware-as-a-service (RaaS) putem oglasa na RAMP underground forumu.
Značajan aspekt ransomware-a je da izvršna datoteka ugrađuje akreditive kompromitovanog korisnika, koji se zatim koriste za pokretanje PsExec-a , legitimnog alata koji omogućava daljinsko pokretanje programa.
Sličnosti Cicada3301 sa BlackCatom takođe se proširuju na njegovu upotrebu ChaCha20 za enkripciju, fsutil za procenu simboličkih veza i šifrovanje preusmerenih datoteka, kao i IISReset.exe za zaustavljanje IIS usluga i šifrovanje datoteka koje bi inače mogle biti zaključane radi modifikacije ili brisanja.
Ostala preklapanja sa BlackCat-om uključuju korake preduzete za brisanje sjenčanih kopija, onemogućavanje oporavka sistema manipuliranjem uslužnim programom bcdedit , povećanje vrijednosti MaxMpxCt za podršku većeg obima prometa (npr. SMB PsExec zahtjevi) i brisanje svih dnevnika događaja korištenjem uslužnog programa wevtutil .
Cicada3301 je takođe primijetio zaustavljanje lokalno raspoređenih virtuelnih mašina (VM), ponašanje koje su ranije usvojili Megazord ransomware i Yanluowang ransomware, i ukidanje različitih usluga sigurnosnog kopiranja i oporavka i tvrdo kodirane liste desetina procesa.
Osim što održava ugrađenu listu izuzetih datoteka i direktorija tokom procesa šifriranja, ransomware cilja ukupno 35 ekstenzija datoteka – sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm i txt.
Morphisec je rekao da je njegova istraga takođe otkrila dodatne alate kao što je EDRSandBlast koji koriste ranjivi potpisani drajver kako bi zaobišli EDR detekciju, tehniku koju je takođe usvojila grupa BlackByte ransomware u prošlosti.
Nalazi prate Truesecovu analizu ESXi verzije Cicada3301, istovremeno otkrivajući naznake da se grupa možda udružila sa operaterima Brutus botneta kako bi dobila početni pristup poslovnim mrežama.
„Bez obzira na to da li je Cicada3301 rebrand ALPHV-a, imaju ransomware koji je napisao isti programer kao ALPHV, ili su samo kopirali dijelove ALPHV-a da naprave vlastiti ransomware, vremenska linija sugeriše nestanak BlackCata i pojavu prvog Brutus botnet, a zatim i operacija Cicada3301 ransomware-a možda su svi povezani”, istakla je kompanija .
Napadi na VMware ESXi sisteme takođe podrazumevaju korišćenje povremene enkripcije za šifrovanje datoteka većih od postavljenog praga (100 MB) i parametar pod nazivom “no_vm_ss” za šifrovanje datoteka bez gašenja virtuelnih mašina koje rade na hostu.
Pojava Cicada3301 je takođe potaknula istoimeni “nepolitički pokret”, koji se bavio “misterioznim” kriptografskim zagonetkama , da izda izjavu da nema veze sa šemom ransomware-a.
Izvor:The Hacker News