Коты обратились в цикады? Новая хак-группа близка по методам к BlackCat/ALPHV

Выявлена новая группа вымогателей Cicada3301, которая атакует хосты Windows и Linux/ESXi с помощью сложных методов шифрования, сообщает скандинавская ИБ-компания Tuesec.

Группировка была впервые замечена 25 июня, когда опубликовала данные четырёх компаний на своем сайте утечки данных. 29 июня она уже опубликовала приглашение потенциальным партнёрам присоединиться к их платформе ransomware-as-a-service (RaaS) на форуме Ramp. С тех пор Cicada3301 значительно расширила список своих жертв.

Новая группа работает как традиционная платформа «программа-вымогатель как услуга», предлагая партнёрам инструменты для двойного вымогательства — шифрования данных и угрозы их утечки в случае выплаты выкупа. Программы-вымогатели написаны на языке Rust, известном своей производительностью и функциями безопасности, для атак на системы Windows и Linux/ESXi. Это ПО представляет собой двоичный файл ELF, скомпилированный с помощью Rust версии 1.79.0.

Использование данного языка подтверждается путём изучения раздела .comment двоичного файла и строковых ссылок на систему сборки Rust, Cargo. Программа-вымогатель использует алгоритм шифрования ChaCha20, который совпадает с алгоритмом предыдущих программ-вымогателей (таких как ALPHV), что предполагает возможное сходство кода или общих разработчиков у них. Исследователи из Tuesec нашли ещё несколько параметров, которые говорят о схожести методов работы двух группировок.

Первоначальный вектор атаки Cicada3301 включает использование реальных учётных данных, полученных путём подбора пароля или кражи, для доступа к системам с помощью таких инструментов как ScreenConnect. Эксперты отметили, что группировка использует IP-адрес, связанный с ботнетом Brutus, который известен кампаниями по подбору паролей. Ботнет начал работу 18 марта, через две недели после прекращения работы BlackCat/ALPHV. Эта связь повышает вероятность, что Cicada3301 может быть переименованной версией прекратившей своё существование группы BlackCat/ALPHV или использует некоторые её ресурсы или разработчиков.

Независимо от того, является ли Cicada3301 ребрендингом ALPHV или использует программу-вымогатель, написанную тем же разработчиком, или часть кода для своего инструмента, можно предположить, что крах BlackCat и появление ботнета Brutus, а затем и активизация деятельности программы-вымогателя Cicada3301, возможно, связаны, считают в Tuesec.

Так или иначе, Cicada3301 представляет значительную угрозу из-за своих передовых методов шифрования и способности атаковать несколько операционных систем. Организациям рекомендуется усилить меры кибербезопасности, включая резервное копирование данных, сегментацию сети и обучение сотрудников, чтобы снизить риск атак с использованием программ-вымогателей.

Изначально Cicada3301 — организация, публиковавшая в Интернете загадки, связанные с защитой данных, криптографией и стеганографией. Так основатели Cicada3301 отбирали людей в своё сообщество.

2 сентября, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

11.10.2024
Очередная медицинская организация США стала объектом интереса хакеров
11.10.2024
Рыбалка вредит морякам. Морской SOC выявил главные угрозы для судоходства
11.10.2024
Регулятор обязал банкиров ускориться
11.10.2024
Краснов: Работа ведомственных антихак-подразделений должным образом не ведётся
11.10.2024
Минцифры отпустило идею создания национального репозитория
10.10.2024
ЦСР: К 2028 году объём российского рынка ИБ достигнет 715 млрд рублей
10.10.2024
22 октября в Москве пройдёт V Конференция по информационной безопасности ПрофИБ
10.10.2024
Это уже слишком. Теперь весь интернет знает, что вы едите «Огненное Воппер Комбо на двоих» в одиночку
10.10.2024
Эксперты UserGate обнаружили критическую уязвимость в Zangi
10.10.2024
«Вне зависимости от мотивации преступников успешная атака на крупный бизнес выглядит привлекательнее всего»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных