Výzkumníci v oblasti kybernetické bezpečnosti rozebrali vnitřní fungování nové varianty ransomwaru nazvané Cicada3301, která sdílí podobnosti s nyní již neexistující operací BlackCat (také známou jako ALPHV).
„Zdá se, že ransomware Cicada3301 primárně cílí na malé a střední podniky (SMB), pravděpodobně prostřednictvím oportunistických útoků, které využívají zranitelnosti jako počáteční vektor přístupu,“ uvedla společnost Morphisec ve své technické zprávě sdílené s The Hacker News.
Napsaný v jazyce Rust a schopný cílit na hostitele Windows i Linux/ESXi, Cicada3301 se poprvé objevil v červnu 2024 a vyzval potenciální partnery, aby se připojili k jejich platformě ransomware-as-a-service (RaaS) prostřednictvím inzerátu na podzemním fóru RAMP.
Pozoruhodným aspektem ransomwaru je, že spustitelný soubor obsahuje kompromitované uživatelské přihlašovací údaje, které jsou následně použity k spuštění PsExec, legitimního nástroje, který umožňuje spouštět programy na dálku.
Podobnosti Cicada3301 s BlackCat se také rozšiřují na použití ChaCha20 pro šifrování, fsutil pro vyhodnocení symbolických odkazů a šifrování přesměrovaných souborů, stejně jako IISReset.exe pro zastavení služeb IIS a šifrování souborů, které by jinak mohly být uzamčeny pro úpravy nebo smazání.
Další překryvy s BlackCat zahrnují kroky podniknuté k odstranění stínových kopií, deaktivaci obnovy systému manipulací s nástrojem bcdedit, zvýšení hodnoty MaxMpxCt pro podporu vyšších objemů provozu (např. požadavky SMB PsExec) a vymazání všech událostních logů pomocí nástroje wevtutil.
Cicada3301 také pozorovala zastavení lokálně nasazených virtuálních strojů (VM), chování dříve přijaté ransomwarem Megazord a Yanluowang, a ukončení různých zálohovacích a obnovovacích služeb a pevně zakódovaného seznamu desítek procesů.
Kromě udržování vestavěného seznamu vyloučených souborů a adresářů během šifrovacího procesu ransomware cílí na celkem 35 přípon souborů – sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm a txt.
Morphisec uvedl, že jeho vyšetřování také odhalilo další nástroje jako EDRSandBlast, které zneužívají zranitelný podepsaný ovladač k obejití detekcí EDR, techniku, kterou v minulosti také přijal ransomware BlackByte.
Zjištění následují analýzu verze Cicada3301 pro ESXi od společnosti Truesec, která také odhalila náznaky, že skupina mohla spolupracovat s operátory botnetu Brutus, aby získala počáteční přístup k podnikovým sítím.
„Bez ohledu na to, zda je Cicada3301 rebrandingem ALPHV, mají ransomware napsaný stejným vývojářem jako ALPHV, nebo jen zkopírovali části ALPHV, aby vytvořili svůj vlastní ransomware, časová osa naznačuje zánik BlackCat a vznik nejprve botnetu Brutus a poté operace ransomwaru Cicada3301 může být možná všechny propojené,“ uvedla společnost.
Útoky proti systémům VMware ESXi také zahrnují použití přerušovaného šifrování k šifrování souborů větších než stanovený práh (100 MB) a parametr nazvaný „no_vm_ss“ k šifrování souborů bez vypnutí virtuálních strojů, které běží na hostiteli.
Vznik Cicada3301 také podnítil stejnojmenné „nepolitické hnutí“, které se zabývalo “tajemnými” kryptografickými hádankami, aby vydalo prohlášení, že nemá žádné spojení s ransomwarem.
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
