Cicada3301 是一个新的 ransomware-as-a-service(RaaS)操作,出现于威胁景观。该团伙似乎非常活跃,已经在 6月中旬以来在其勒索门户上列出了 23 名受害者。以下是该团伙在暗网泄露网站上发布的受害者列表。
Cicada3301 是三个在线 puzzle 集的名称,于 2012 年到 2014 年之间出现在“3301”名称下。第一个 puzzle 于 2012 年 1 月 4 日在 4chan 上发布,持续了 nearly 一月。第二轮 puzzle 于 2013 年 1 月 4 日开始,然后第三轮 puzzle 在 2014 年 1 月 4 日确认了新的线索后发布。第三个 puzzle 尚未被解决。该团伙声称旨在招募“有才之人”通过解决一系列 puzzle;然而,2015 年 1 月 4 日没有发布新的 puzzle。然而,Cicada3301 操作似乎与 Cicada3301 无关。
自 6 月以来,Cicada3301 操作者在 RAMP 黑客论坛上开始招募affiliate。 Cicada3301 ransomware 使用 Rust 语言,攻击 Windows 和 Linux/ESXi 主机。Truesec 研究员对 ESXi 系统的变体进行了分解,发现这似乎是 Windows 版本的同一 malware。专家指出,虽然许多 ransomware 团伙现在攻击 ESXi 系统,但只有少数几组 ransomware 团伙使用 Rust 语言编写 ransomware,包括现在已不存在的 BlackCat/ALPHV 团伙。分析表明,Cicada3301 ransomware 和 ALPHV ransomware 之间存在显著相似之处。
“Cicada3301 ransomware 具有多个与 ALPHV ransomware 相似的特点,”Truesec 报告称。都是使用 Rust 编写的 Both 使用 ChaCha20 进行加密 Both 使用 almost identical 命令来关闭 VM 和删除快照 Both 使用 –ui 命令参数来提供加密过程的图形输出 Both 使用相同的文件命名约定,但将“RECOVER-“ransomware 扩展”-FILES.txt”改为“RECOVER-“ransomware 扩展”-DATA.txt”
Cicada3301 ransomware 支持多个可配置的参数,操作员可以使用这些参数来改变 ransomware 的行为。这些参数,通过 clap::args 库管理,包括选项,如: sleep:延迟 ransomware 执行的指定秒数 ui:显示加密过程的实时进度和统计信息,例如加密的文件数量 no_vm_ss:在 ESXi 主机上加密文件,而不关闭正在运行的虚拟机,使用 esxicli 终端删除快照。
Cicada3301 ransomware 生成对称密钥的加密使用 OsRng 随机数生成器。该 ransomware 使用名为 encrypt_file 的函数来处理文件加密。这个过程涉及到从二进制数据部分中提取的公钥 PGP,用于加密生成的对称密钥。然后,恶意软件在每个包含加密文件的文件夹中创建一个名为“RECOVER-[加密文件结尾]-DATA.txt”的文件。加密目标文件扩展名,主要是文档和图片相关,表明 ransomware 最初是设计来攻击 Windows 系统,然后被适用于 ESXi 主机。
原文始发于微信公众号(黑猫安全):新的 Cicada ransomware 变体攻击 VMware ESXi 系统
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论