Выявлена новая группа вымогателей Cicada3301, которая атакует хосты Windows и Linux/ESXi с помощью сложных методов шифрования, сообщает скандинавская ИБ-компания Tuesec.
Группировка была впервые замечена 25 июня, когда опубликовала данные четырёх компаний на своем сайте утечки данных. 29 июня она уже опубликовала приглашение потенциальным партнёрам присоединиться к их платформе ransomware-as-a-service (RaaS) на форуме Ramp. С тех пор Cicada3301 значительно расширила список своих жертв.
Новая группа работает как традиционная платформа «программа-вымогатель как услуга», предлагая партнёрам инструменты для двойного вымогательства — шифрования данных и угрозы их утечки в случае выплаты выкупа. Программы-вымогатели написаны на языке Rust, известном своей производительностью и функциями безопасности, для атак на системы Windows и Linux/ESXi. Это ПО представляет собой двоичный файл ELF, скомпилированный с помощью Rust версии 1.79.0.
Использование данного языка подтверждается путём изучения раздела .comment двоичного файла и строковых ссылок на систему сборки Rust, Cargo. Программа-вымогатель использует алгоритм шифрования ChaCha20, который совпадает с алгоритмом предыдущих программ-вымогателей (таких как ALPHV), что предполагает возможное сходство кода или общих разработчиков у них. Исследователи из Tuesec нашли ещё несколько параметров, которые говорят о схожести методов работы двух группировок.
Первоначальный вектор атаки Cicada3301 включает использование реальных учётных данных, полученных путём подбора пароля или кражи, для доступа к системам с помощью таких инструментов как ScreenConnect. Эксперты отметили, что группировка использует IP-адрес, связанный с ботнетом Brutus, который известен кампаниями по подбору паролей. Ботнет начал работу 18 марта, через две недели после прекращения работы BlackCat/ALPHV. Эта связь повышает вероятность, что Cicada3301 может быть переименованной версией прекратившей своё существование группы BlackCat/ALPHV или использует некоторые её ресурсы или разработчиков.
Независимо от того, является ли Cicada3301 ребрендингом ALPHV или использует программу-вымогатель, написанную тем же разработчиком, или часть кода для своего инструмента, можно предположить, что крах BlackCat и появление ботнета Brutus, а затем и активизация деятельности программы-вымогателя Cicada3301, возможно, связаны, считают в Tuesec.
Так или иначе, Cicada3301 представляет значительную угрозу из-за своих передовых методов шифрования и способности атаковать несколько операционных систем. Организациям рекомендуется усилить меры кибербезопасности, включая резервное копирование данных, сегментацию сети и обучение сотрудников, чтобы снизить риск атак с использованием программ-вымогателей.
Изначально Cicada3301 — организация, публиковавшая в Интернете загадки, связанные с защитой данных, криптографией и стеганографией. Так основатели Cicada3301 отбирали людей в своё сообщество.