Linux-шифровальщик Cicada3301 нацелен на системы VMware ESXi.

Новый вымогатель, получивший название Cicada3301, уже указал 19 жертв на своем портале для вымогателей, поскольку он быстро атаковал компании по всему миру.

Новая киберпреступная операция названа в честь загадочной онлайн-игры 2012-2014 годов, которая включала в себя сложные криптографические головоломки и использовала тот же логотип для продвижения на киберпреступных форумах. Однако маловероятно, что между ними есть связь.

Впервые Cicada3301 RaaS начала рекламировать свою деятельность и набирать аффилиатов 29 июня 2024 года в сообщении на форуме по борьбе с вымогательством и киберпреступностью, известном как RAMP.

Однако BleepingComputer известно об атаках Cicada еще 6 июня, что указывает на то, что банда действовала самостоятельно, прежде чем попытаться набрать партнеров.

Как и другие вымогатели, Cicada3301 использует тактику двойного вымогательства: проникает в корпоративные сети, похищает данные, а затем шифрует устройства. Ключ шифрования и угрозы утечки украденных данных затем используются в качестве рычага давления на жертву, чтобы заставить ее заплатить выкуп.

Угрожающие лица создают сайт утечки данных, который используется как часть их схемы двойного вымогательства.

Анализ новой вредоносной программы, проведенный компанией Truesec, выявил значительные совпадения между Cicada3301 и ALPHV/BlackCat, что указывает на возможный ребрендинг или форк, созданный бывшими членами основной команды ALPHV.

Это основано на том, что:

• Оба написаны на языке Rust.
• Оба используют алгоритм ChaCha20 для шифрования.
• Оба используют идентичные команды выключения ВМ и стирания снапшотов.
• В обоих случаях используются одинаковые параметры команд пользовательского интерфейса, одинаковые соглашения об именовании файлов и одинаковый метод расшифровки выкупа.
• Оба используют прерывистое шифрование больших файлов.

В начале марта 2024 года ALPHV провела аферу с выходом из игры, заявив о фальшивых заявлениях об операции ФБР по уничтожению компании после того, как они похитили крупный платеж в размере 22 миллионов долларов от Change Healthcare через одного из своих аффилированных лиц.

Truesec также обнаружила признаки того, что операция Cicada3301, связанная с вымогательством, может сотрудничать с ботнетом Brutus или использовать его для первоначального доступа к корпоративным сетям. Ранее этот ботнет был связан с глобальной деятельностью по взлому VPN, направленной на устройства Cisco, Fortinet, Palo Alto и SonicWall.

Стоит отметить, что активность Brutus была впервые замечена через две недели после прекращения работы ALPHV, так что связь между двумя группами все еще сохраняется по срокам.

Еще одна угроза для VMware ESXi

Cicada3301 - это основанная на Rust программа-вымогатель с шифровальщиками как для Windows, так и для Linux/VMware ESXi. В рамках отчета Truesec исследователи проанализировали Linux-шифровальщик VMWare ESXi для этой вымогательской операции.

Как и в BlackCat и других семействах вымогательских программ, таких как RansomHub, для запуска шифровальщика необходимо ввести специальный ключ в качестве аргумента командной строки. Этот ключ используется для расшифровки зашифрованного JSON-блоба, содержащего конфигурацию, которую шифровальщик будет использовать при шифровании устройства.

Truesec утверждает, что шифровальщик проверяет валидность ключа, используя его для расшифровки записки с выкупом, и в случае успеха продолжает остальные операции шифрования.

Его основная функция (linux_enc) использует потоковый шифр ChaCha20 для шифрования файлов, а затем шифрует симметричный ключ, используемый в процессе, с помощью ключа RSA. Ключи шифрования генерируются случайным образом с помощью функции 'OsRng'.

Cicada3301 выбирает определенные расширения файлов, соответствующие документам и медиафайлам, и проверяет их размер, чтобы определить, где применить прерывистое шифрование (>100 МБ), а где зашифровать все содержимое файла (<100 МБ).

При шифровании файлов шифровальщик добавляет к имени файла случайное семисимвольное расширение и создает заметки о выкупе с именем 'RECOVER-[расширение]-DATA.txt', как показано ниже. Следует отметить, что шифровальщики BlackCat/ALPHV также использовали случайные семисимвольные расширения и выкупную записку с именем 'RECOVER-[extension]-FILES.txt'.

Операторы выкупной программы могут установить параметр сна, чтобы отсрочить выполнение шифровальщика и, возможно, избежать немедленного обнаружения.

Параметр «no_vm_ss» также предписывает вредоносной программе шифровать виртуальные машины VMware ESXi, не пытаясь их предварительно выключить.

Однако по умолчанию Cicada3301 сначала использует команды ESXi 'esxcli' и 'vim-cmd' для выключения виртуальных машин и удаления их снимков перед шифрованием данных.

esxcli -formatter=csv -format-param=fields==\«WorldID,DisplayName\» vm process list | grep -viE \»,(),\» | awk -F \«\\\\\\»*,\\\\\"*\» \'{system(\«esxcli vm process kill -type=force -world-id=\»$1)}\' > /dev/null 2>&1;

for i in `vim-cmd vmsvc/getallvms| awk \'{print$1}\'`;do vim-cmd vmsvc/snapshot.removeall $i & done > /dev/null 2>&1

Деятельность Cicada3301 и скорость достижения успеха указывают на опытного агента, который знает, что делает, что еще больше подтверждает гипотезу о перезагрузке ALPHV или, по крайней мере, использовании аффилированных лиц с предыдущим опытом работы с вымогательским ПО.

То, что новая программа-вымогатель ориентирована на среды ESXi, подчеркивает ее стратегический замысел, направленный на нанесение максимального ущерба корпоративным средам, которые многие угрожающие субъекты сегодня выбирают в качестве цели для получения прибылей.

Сочетая шифрование файлов со способностью нарушать работу виртуальных машин и удалять возможности восстановления, Cicada3301 обеспечивает высокоэффективную атаку, которая затрагивает целые сети и инфраструктуры, максимально увеличивая давление на жертвы.