新的 Cicada ransomware 变体攻击 VMware ESXi 系统

admin 2024年9月26日11:23:16评论25 views字数 1375阅读4分35秒阅读模式

新的 Cicada ransomware 变体攻击 VMware ESXi 系统

Cicada3301 是一个新的 ransomware-as-a-service(RaaS)操作,出现于威胁景观。该团伙似乎非常活跃,已经在 6月中旬以来在其勒索门户上列出了 23 名受害者。以下是该团伙在暗网泄露网站上发布的受害者列表。

Cicada3301 是三个在线 puzzle 集的名称,于 2012 年到 2014 年之间出现在“3301”名称下。第一个 puzzle 于 2012 年 1 月 4 日在 4chan 上发布,持续了 nearly 一月。第二轮 puzzle 于 2013 年 1 月 4 日开始,然后第三轮 puzzle 在 2014 年 1 月 4 日确认了新的线索后发布。第三个 puzzle 尚未被解决。该团伙声称旨在招募“有才之人”通过解决一系列 puzzle;然而,2015 年 1 月 4 日没有发布新的 puzzle。然而,Cicada3301 操作似乎与 Cicada3301 无关。

自 6 月以来,Cicada3301 操作者在 RAMP 黑客论坛上开始招募affiliate。 Cicada3301 ransomware 使用 Rust 语言,攻击 Windows 和 Linux/ESXi 主机。Truesec 研究员对 ESXi 系统的变体进行了分解,发现这似乎是 Windows 版本的同一 malware。专家指出,虽然许多 ransomware 团伙现在攻击 ESXi 系统,但只有少数几组 ransomware 团伙使用 Rust 语言编写 ransomware,包括现在已不存在的 BlackCat/ALPHV 团伙。分析表明,Cicada3301 ransomware 和 ALPHV ransomware 之间存在显著相似之处。

“Cicada3301 ransomware 具有多个与 ALPHV ransomware 相似的特点,”Truesec 报告称。都是使用 Rust 编写的 Both 使用 ChaCha20 进行加密 Both 使用 almost identical 命令来关闭 VM 和删除快照 Both 使用 –ui 命令参数来提供加密过程的图形输出 Both 使用相同的文件命名约定,但将“RECOVER-“ransomware 扩展”-FILES.txt”改为“RECOVER-“ransomware 扩展”-DATA.txt”

Cicada3301 ransomware 支持多个可配置的参数,操作员可以使用这些参数来改变 ransomware 的行为。这些参数,通过 clap::args 库管理,包括选项,如: sleep:延迟 ransomware 执行的指定秒数 ui:显示加密过程的实时进度和统计信息,例如加密的文件数量 no_vm_ss:在 ESXi 主机上加密文件,而不关闭正在运行的虚拟机,使用 esxicli 终端删除快照。

Cicada3301 ransomware 生成对称密钥的加密使用 OsRng 随机数生成器。该 ransomware 使用名为 encrypt_file 的函数来处理文件加密。这个过程涉及到从二进制数据部分中提取的公钥 PGP,用于加密生成的对称密钥。然后,恶意软件在每个包含加密文件的文件夹中创建一个名为“RECOVER-[加密文件结尾]-DATA.txt”的文件。加密目标文件扩展名,主要是文档和图片相关,表明 ransomware 最初是设计来攻击 Windows 系统,然后被适用于 ESXi 主机。

原文始发于微信公众号(黑猫安全):新的 Cicada ransomware 变体攻击 VMware ESXi 系统

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月26日11:23:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新的 Cicada ransomware 变体攻击 VMware ESXi 系统https://cn-sec.com/archives/3123499.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息