Μια νέα επιχείρηση ransomware-as-a-service (RaaS), με το όνομα Cicada3301, επιτίθεται σε εταιρείες σε όλο τον κόσμο και στοχεύει κυρίως συστήματα VMware ESXi.
Η νέα κακόβουλη επιχείρηση πήρε το όνομά της από το μυστηριώδες online/real-world παιχνίδι (2012-2014) που περιελάμβανε περίτεχνα κρυπτογραφικά παζλ και μάλιστα χρησιμοποιεί το ίδιο λογότυπο. Ωστόσο, δεν συνδέονται με κάποιο τρόπο και οι προγραμματιστές του παιχνιδιού έχουν εκδώσει μια δήλωση για να ξεκαθαρίσουν ότι δεν υπάρχει καμιά συσχέτιση.
Το Cicada3301 ransomware άρχισε να προωθεί τη λειτουργία του και να στρατολογεί συνεργάτες στις 29 Ιουνίου 2024, μέσω ενός hacking forum. Ωστόσο, σύμφωνα με το BleepingComputer, έχουν ήδη καταγραφεί επιθέσεις από τις 6 Ιουνίου, υποδεικνύοντας ότι η συμμορία λειτουργούσε πριν επιχειρήσει να στρατολογήσει συνεργάτες.
Δείτε επίσης: Το BlackByte ransomware εκμεταλλεύεται ευπάθεια του VMware ESXi
Όπως οι περισσότερες επιχειρήσεις ransomware, το Cicada3301 χρησιμοποιεί τακτικές διπλού εκβιασμού, όπου πρώτα γίνεται παραβίαση εταιρικών δικτύων και κλοπή δεδομένων και έπειτα ξεκινά η κρυπτογράφηση συσκευών. Το κλειδί κρυπτογράφησης και οι απειλές για διαρροή κλεμμένων δεδομένων χρησιμοποιούνται για τον εκβιασμό των θυμάτων προκειμένου να πληρώσουν λύτρα. Οι hackers πίσω από το ransomware διαχειρίζονται ένα site διαρροής δεδομένων, που χρησιμοποιείται ως μέρος του σχεδίου εκβιασμού τους.
Μια ανάλυση του νέου κακόβουλου λογισμικού από την Truesec αποκάλυψε σημαντικές ομοιότητες μεταξύ του Cicada3301 και του ALPHV/BlackCat ransomware (γλώσσα Rust, αλγόριθμος ChaCha20 για κρυπτογράφηση, πανομοιότυπες εντολές τερματισμού λειτουργίας VM, ίδιες παράμετροι εντολών διεπαφής χρήστη, ίδια μέθοδο αποκρυπτογράφησης σημειώσεων λύτρων, intermittent encryption σε μεγάλα αρχεία). Αυτές οι ομοιότητες μπορεί να δείχνουν μια πιθανή αλλαγή επωνυμίας ή μια υπο-ομάδα που δημιουργήθηκε από τα πρώην μέλη της ομάδας ALPHV.
Αξίζει να σημειωθεί, ότι η συμμορία ALPHV πραγματοποίησε ένα exit scam στις αρχές Μαρτίου 2024, κλέβοντας 22 εκατομμύρια δολάρια (πληρωμή από την Change Healthcare) από έναν από τους affiliates της.
Η Truesec βρήκε επίσης ενδείξεις ότι το ransomware Cicada3301 μπορεί να συνεργάζεται ή να χρησιμοποιεί το botnet Brutus για αρχική πρόσβαση σε εταιρικά δίκτυα. Η δραστηριότητα του Brutus εντοπίστηκε, για πρώτη φορά, δύο εβδομάδες μετά τον τερματισμό των εργασιών του ALPHV.
Δείτε επίσης: Σφάλμα VMware ESXi χρησιμοποιείται σε επιθέσεις ransomware
Cicada3301 ransomware: Linux encryptor στοχεύει VMware ESXi
Το Cicada3301 στοχεύει Windows και Linux/VMware ESXi. Η Truesec μελέτησε τον Linux encryptor που στοχεύει VMWare ESXi.
Πώς γίνεται η κρυπτογράφηση
Αρχικά, πρέπει να εισαχθεί ένα ειδικό κλειδί ως command line argument για την εκκίνηση του encryptor. Αυτό το κλειδί χρησιμοποιείται για την αποκρυπτογράφηση ενός κρυπτογραφημένου JSON blob που περιέχει τη διαμόρφωση που θα χρησιμοποιήσει ο encryptor κατά την κρυπτογράφηση μιας συσκευής στο παραβιασμένο εταιρικό δίκτυο.
Ο Linux encryptor ελέγχει την εγκυρότητα του κλειδιού χρησιμοποιώντας το για να αποκρυπτογραφήσει το σημείωμα λύτρων και, εάν είναι επιτυχές, συνεχίζει με την υπόλοιπη λειτουργία κρυπτογράφησης.
Η κύρια λειτουργία του (linux_enc) χρησιμοποιεί ChaCha20 stream cipher για κρυπτογράφηση αρχείων και στη συνέχεια κρυπτογραφεί το symmetric key που χρησιμοποιείται στη διαδικασία με ένα κλειδί RSA.
Το Cicada3301 ransomware στοχεύει συγκεκριμένες επεκτάσεις αρχείων και ελέγχει το μέγεθός τους για να προσδιορίσει πού θα εφαρμοστεί intermittent encryption (>100 MB) και πού θα κρυπτογραφηθεί ολόκληρο το περιεχόμενο (<100 MB).
Δείτε επίσης: Play ransomware: Νέα Linux παραλλαγή στοχεύει περιβάλλοντα VMWare ESXi
Στο τέλος, θα προσαρτήσει μια τυχαία επέκταση στο όνομα του αρχείου και θα δημιουργήσει σημειώσεις λύτρων με το όνομα “RECOVER-[extension]-DATA.txt
“.Μια παράμετρος “no_vm_ss” δίνει επίσης εντολή στο κακόβουλο λογισμικό να κρυπτογραφήσει τις εικονικές μηχανές VMware ESXi (χωρίς να τερματίσει τη λειτουργία τους). Ωστόσο, από προεπιλογή, το Cicada3301 χρησιμοποιεί πρώτα τις εντολές ‘esxcli‘ και ‘vim-cmd‘ του ESXi για να τερματίσει τη λειτουργία των εικονικών μηχανών και να διαγράψει τα snapshots τους πριν κρυπτογραφήσει τα δεδομένα.
Προστασία από το ransomware
Δημιουργία αντίγραφων ασφαλείας των δεδομένων σας: Ένας από τους πιο αποτελεσματικούς τρόπους για να προστατευτείτε από μια επίθεση ransomware είναι να δημιουργείτε τακτικά αντίγραφα ασφαλείας των δεδομένων σας. Αυτό διασφαλίζει ότι ακόμα κι αν τα δεδομένα σας είναι κρυπτογραφημένα από ransomware, θα έχετε ένα ασφαλές αντίγραφο που μπορεί να αποκατασταθεί χωρίς να πληρώσετε τα λύτρα.
Ενημέρωση λειτουργικού συστήματος και λογισμικού: Τα μη ενημερωμένα λειτουργικά συστήματα και λογισμικά είναι ευάλωτα σε επιθέσεις στον κυβερνοχώρο. Είναι σημαντικό να ενημερώνετε τακτικά τις συσκευές σας με τις πιο πρόσφατες ενημερώσεις ασφαλείας και λογισμικού για να αποτρέψετε τυχόν ευπάθειες που θα μπορούσαν να χρησιμοποιηθούν από ransomware.
Προσοχή σε ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου και συνδέσμους: Οι επιθέσεις ransomware συχνά ξεκινούν με ένα phishing email ή κακόβουλο σύνδεσμο. Είναι σημαντικό να είστε προσεκτικοί όταν ανοίγετε μηνύματα ηλεκτρονικού ταχυδρομείου από άγνωστους αποστολείς. Επίσης, μην κάνετε κλικ σε ύποπτους συνδέσμους. Αυτά θα μπορούσαν να οδηγήσουν στην εγκατάσταση ransomware στη συσκευή σας.
Χρήση λογισμικού προστασίας από ιούς: Η εγκατάσταση αξιόπιστου λογισμικού προστασίας από ιούς στις συσκευές σας μπορεί να σας βοηθήσει να εντοπίσετε και να αποτρέψετε επιθέσεις ransomware. Φροντίστε να ενημερώνετε τακτικά το λογισμικό προστασίας από ιούς για να βεβαιωθείτε ότι είναι εξοπλισμένο για να χειρίζεται νέες απειλές.
Εκπαίδευση: Ένα από τα πιο σημαντικά βήματα για την προστασία από ransomware είναι η εκπαίδευση. Είναι σημαντικό να παραμένετε ενημερωμένοι για τους πιο πρόσφατους τύπους ransomware και τον τρόπο λειτουργίας τους. Οι οργανισμοί θα πρέπει επίσης να εκπαιδεύουν τους υπαλλήλους τους για το πώς να εντοπίζουν και να αποφεύγουν πιθανές επιθέσεις.
Εφαρμογή ισχυρών κωδικών πρόσβασης: Οι αδύναμοι ή εύκολοι κωδικοί πρόσβασης μπορούν να διευκολύνουν τους hackers να αποκτήσουν πρόσβαση στις συσκευές σας και να εγκαταστήσουν ransomware. Είναι σημαντικό να χρησιμοποιείτε ισχυρούς και μοναδικούς κωδικούς πρόσβασης και να ενεργοποιείτε τον έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
Δείτε επίσης: Το SEXi ransomware μετονομάζεται σε APT INC – Επιθέσεις σε VMware ESXi servers
Χρήση VPN: Ένα VPN κρυπτογραφεί τη σύνδεσή σας στο Διαδίκτυο και παρέχει ένα επιπλέον επίπεδο ασφάλειας έναντι επιθέσεων ransomware. Αυτό είναι ιδιαίτερα σημαντικό όταν χρησιμοποιείτε δημόσια δίκτυα Wi-Fi, τα οποία είναι συχνά μη ασφαλή και ευάλωτα σε επιθέσεις στον κυβερνοχώρο.
Πηγή: www.bleepingcomputer.com