Коты обратились в цикады? Новая хак-группа близка по методам к BlackCat/ALPHV

Выявлена новая группа вымогателей Cicada3301, которая атакует хосты Windows и Linux/ESXi с помощью сложных методов шифрования, сообщает скандинавская ИБ-компания Tuesec.

Группировка была впервые замечена 25 июня, когда опубликовала данные четырёх компаний на своем сайте утечки данных. 29 июня она уже опубликовала приглашение потенциальным партнёрам присоединиться к их платформе ransomware-as-a-service (RaaS) на форуме Ramp. С тех пор Cicada3301 значительно расширила список своих жертв.

Новая группа работает как традиционная платформа «программа-вымогатель как услуга», предлагая партнёрам инструменты для двойного вымогательства — шифрования данных и угрозы их утечки в случае выплаты выкупа. Программы-вымогатели написаны на языке Rust, известном своей производительностью и функциями безопасности, для атак на системы Windows и Linux/ESXi. Это ПО представляет собой двоичный файл ELF, скомпилированный с помощью Rust версии 1.79.0.

Использование данного языка подтверждается путём изучения раздела .comment двоичного файла и строковых ссылок на систему сборки Rust, Cargo. Программа-вымогатель использует алгоритм шифрования ChaCha20, который совпадает с алгоритмом предыдущих программ-вымогателей (таких как ALPHV), что предполагает возможное сходство кода или общих разработчиков у них. Исследователи из Tuesec нашли ещё несколько параметров, которые говорят о схожести методов работы двух группировок.

Первоначальный вектор атаки Cicada3301 включает использование реальных учётных данных, полученных путём подбора пароля или кражи, для доступа к системам с помощью таких инструментов как ScreenConnect. Эксперты отметили, что группировка использует IP-адрес, связанный с ботнетом Brutus, который известен кампаниями по подбору паролей. Ботнет начал работу 18 марта, через две недели после прекращения работы BlackCat/ALPHV. Эта связь повышает вероятность, что Cicada3301 может быть переименованной версией прекратившей своё существование группы BlackCat/ALPHV или использует некоторые её ресурсы или разработчиков.

Независимо от того, является ли Cicada3301 ребрендингом ALPHV или использует программу-вымогатель, написанную тем же разработчиком, или часть кода для своего инструмента, можно предположить, что крах BlackCat и появление ботнета Brutus, а затем и активизация деятельности программы-вымогателя Cicada3301, возможно, связаны, считают в Tuesec.

Так или иначе, Cicada3301 представляет значительную угрозу из-за своих передовых методов шифрования и способности атаковать несколько операционных систем. Организациям рекомендуется усилить меры кибербезопасности, включая резервное копирование данных, сегментацию сети и обучение сотрудников, чтобы снизить риск атак с использованием программ-вымогателей.

Изначально Cicada3301 — организация, публиковавшая в Интернете загадки, связанные с защитой данных, криптографией и стеганографией. Так основатели Cicada3301 отбирали людей в своё сообщество.

2 сентября, 2024

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

10.07.2025
От айтишников всё чаще требуют развитых soft skills
10.07.2025
Хакер попытался украсть личность госсекретаря США с помощью ИИ
10.07.2025
Финрегулятор хочет раскрыть имена собственников банков
10.07.2025
«Большая часть компаний начинает инвестировать в ИБ только в ответ на требования извне»
10.07.2025
Telegram эволюционирует, скамеры — тоже
09.07.2025
Депутаты не одобрили деятельность «белых шляп»
09.07.2025
Командная игра в семь раз сократила объём NFC-хищений в России
09.07.2025
Trend Micro: У зловреда Bert — российские корни (вероятно)
09.07.2025
Только 5% компаний закладывает потери от кибератак в ИБ-бюджет
09.07.2025
В японские воды сойдёт дата-центр на 10000 тонн

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных