Коты обратились в цикады? Новая хак-группа близка по методам к BlackCat/ALPHV

Выявлена новая группа вымогателей Cicada3301, которая атакует хосты Windows и Linux/ESXi с помощью сложных методов шифрования, сообщает скандинавская ИБ-компания Tuesec.

Группировка была впервые замечена 25 июня, когда опубликовала данные четырёх компаний на своем сайте утечки данных. 29 июня она уже опубликовала приглашение потенциальным партнёрам присоединиться к их платформе ransomware-as-a-service (RaaS) на форуме Ramp. С тех пор Cicada3301 значительно расширила список своих жертв.

Новая группа работает как традиционная платформа «программа-вымогатель как услуга», предлагая партнёрам инструменты для двойного вымогательства — шифрования данных и угрозы их утечки в случае выплаты выкупа. Программы-вымогатели написаны на языке Rust, известном своей производительностью и функциями безопасности, для атак на системы Windows и Linux/ESXi. Это ПО представляет собой двоичный файл ELF, скомпилированный с помощью Rust версии 1.79.0.

Использование данного языка подтверждается путём изучения раздела .comment двоичного файла и строковых ссылок на систему сборки Rust, Cargo. Программа-вымогатель использует алгоритм шифрования ChaCha20, который совпадает с алгоритмом предыдущих программ-вымогателей (таких как ALPHV), что предполагает возможное сходство кода или общих разработчиков у них. Исследователи из Tuesec нашли ещё несколько параметров, которые говорят о схожести методов работы двух группировок.

Первоначальный вектор атаки Cicada3301 включает использование реальных учётных данных, полученных путём подбора пароля или кражи, для доступа к системам с помощью таких инструментов как ScreenConnect. Эксперты отметили, что группировка использует IP-адрес, связанный с ботнетом Brutus, который известен кампаниями по подбору паролей. Ботнет начал работу 18 марта, через две недели после прекращения работы BlackCat/ALPHV. Эта связь повышает вероятность, что Cicada3301 может быть переименованной версией прекратившей своё существование группы BlackCat/ALPHV или использует некоторые её ресурсы или разработчиков.

Независимо от того, является ли Cicada3301 ребрендингом ALPHV или использует программу-вымогатель, написанную тем же разработчиком, или часть кода для своего инструмента, можно предположить, что крах BlackCat и появление ботнета Brutus, а затем и активизация деятельности программы-вымогателя Cicada3301, возможно, связаны, считают в Tuesec.

Так или иначе, Cicada3301 представляет значительную угрозу из-за своих передовых методов шифрования и способности атаковать несколько операционных систем. Организациям рекомендуется усилить меры кибербезопасности, включая резервное копирование данных, сегментацию сети и обучение сотрудников, чтобы снизить риск атак с использованием программ-вымогателей.

Изначально Cicada3301 — организация, публиковавшая в Интернете загадки, связанные с защитой данных, криптографией и стеганографией. Так основатели Cicada3301 отбирали людей в своё сообщество.

2 сентября, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

30.06.2025
Всё связать до 1 июля: «симку», биометрию, «Госуслуги»
30.06.2025
Нейросетям поставили задачу усовершенствовать бюджетный процесс
30.06.2025
Draugnet послужит демократизации отчётности по киберугрозам
30.06.2025
Россиян превращают в дропперов особо изощрённым способом
30.06.2025
Банк России сдал нулевой срез по цифровому рублю
30.06.2025
Половина безопасников хочет приостановить развёртывание GenAI
27.06.2025
«Корыстные цели и низкий уровень правовой культуры». Телеком-лицензии — только в чистые руки
27.06.2025
США опасаются усиления иранских кибератак после авиаударов
27.06.2025
«Можно было бы просто запретить импорт отдельных сегментов». «Аквариус» — о вечном
27.06.2025
ИИ позволяет бороться с телефонными мошенниками, сохраняя тайну связи

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных