新的 Cicada ransomware 变体攻击 VMware ESXi 系统

Cicada3301 是一个新的 ransomware-as-a-service（RaaS）操作，出现于威胁景观。该团伙似乎非常活跃，已经在 6月中旬以来在其勒索门户上列出了 23 名受害者。以下是该团伙在暗网泄露网站上发布的受害者列表。

Cicada3301 是三个在线 puzzle 集的名称，于 2012 年到 2014 年之间出现在“3301”名称下。第一个 puzzle 于 2012 年 1 月 4 日在 4chan 上发布，持续了 nearly 一月。第二轮 puzzle 于 2013 年 1 月 4 日开始，然后第三轮 puzzle 在 2014 年 1 月 4 日确认了新的线索后发布。第三个 puzzle 尚未被解决。该团伙声称旨在招募“有才之人”通过解决一系列 puzzle；然而，2015 年 1 月 4 日没有发布新的 puzzle。然而，Cicada3301 操作似乎与 Cicada3301 无关。

自 6 月以来，Cicada3301 操作者在 RAMP 黑客论坛上开始招募affiliate。 Cicada3301 ransomware 使用 Rust 语言，攻击 Windows 和 Linux/ESXi 主机。Truesec 研究员对 ESXi 系统的变体进行了分解，发现这似乎是 Windows 版本的同一 malware。专家指出，虽然许多 ransomware 团伙现在攻击 ESXi 系统，但只有少数几组 ransomware 团伙使用 Rust 语言编写 ransomware，包括现在已不存在的 BlackCat/ALPHV 团伙。分析表明，Cicada3301 ransomware 和 ALPHV ransomware 之间存在显著相似之处。

“Cicada3301 ransomware 具有多个与 ALPHV ransomware 相似的特点，”Truesec 报告称。都是使用 Rust 编写的 Both 使用 ChaCha20 进行加密 Both 使用 almost identical 命令来关闭 VM 和删除快照 Both 使用 –ui 命令参数来提供加密过程的图形输出 Both 使用相同的文件命名约定，但将“RECOVER-“ransomware 扩展”-FILES.txt”改为“RECOVER-“ransomware 扩展”-DATA.txt”

Cicada3301 ransomware 支持多个可配置的参数，操作员可以使用这些参数来改变 ransomware 的行为。这些参数，通过 clap::args 库管理，包括选项，如： sleep：延迟 ransomware 执行的指定秒数 ui：显示加密过程的实时进度和统计信息，例如加密的文件数量 no_vm_ss：在 ESXi 主机上加密文件，而不关闭正在运行的虚拟机，使用 esxicli 终端删除快照。

Cicada3301 ransomware 生成对称密钥的加密使用 OsRng 随机数生成器。该 ransomware 使用名为 encrypt_file 的函数来处理文件加密。这个过程涉及到从二进制数据部分中提取的公钥 PGP，用于加密生成的对称密钥。然后，恶意软件在每个包含加密文件的文件夹中创建一个名为“RECOVER-[加密文件结尾]-DATA.txt”的文件。加密目标文件扩展名，主要是文档和图片相关，表明 ransomware 最初是设计来攻击 Windows 系统，然后被适用于 ESXi 主机。

原文始发于微信公众号（黑猫安全）：新的 Cicada ransomware 变体攻击 VMware ESXi 系统