一個新興的勒索軟體即服務(RaaS)集團正冒用Cicada 3301的名義發動攻擊。這個駭客組織的勒索網站已列出19個受害者,並正迅速地對全球企業下手。駭客集團盜用了在2012至2014年間一個著名的
密碼學挑戰遊戲 Cicada 3301的名稱與標誌,該遊戲當年因其高度複雜的密碼學謎題而廣受關注。
正牌的 Cicada 3301 已發表聲明,否認與這些威脅行動者有任何關係,並強烈譴責此勒索軟體行動。
六月初展開行動
Cicada3301 於2024年6月29日首次在地下論壇 RAMP上現身,開始宣傳其「勒索即服務」(RaaS)業務並招募成員。調查顯示,Cicada3301的攻擊行動最早可追溯至6月6日,意味著該集團在公開招募前就已經開始活動。
該駭客組織採用常見的「
雙重勒索」手法:先入侵企業網路竊取機密資料,再加密受害者的系統。他們以解密金鑰和威脅公開被竊資料作為籌碼,逼迫受害者支付贖金。為了增加壓力,這些駭客還架設了資料外洩網站,作為勒索計畫的一環。
分析顯示,Cicada3301與先前的ALPHV/BlackCat勒索軟體家族有諸多相似之處。海外資安機構推測,這可能是ALPHV的翻新版本,或由其核心成員另創的新專案。這個推論基於以下觀察:
- 兩者都採用 Rust 程式語言開發
- 加密演算法均使用 ChaCha20
- 關閉虛擬機和刪除快照的指令相同
- 使用者介面參數、檔案命名方式和勒索信解密方法極為相似
- 對大型檔案都使用間歇性加密技術
此外,Cicada3301 疑似與 Brutus 殭屍網路有所牽連,或利用該網路作為入侵的跳板。Brutus 先前曾在全球範圍內對 Cisco、Fortinet、Palo Alto 和 SonicWall 等大廠的 VPN 設備發動暴力破解攻擊。有趣的是,Brutus 的攻擊活動首次被發現時,剛好是在 ALPHV 銷聲匿跡兩週後。這個時間點不禁讓人聯想到兩者之間可能存在某種關聯。
VMware ESXi 再遭新威脅
Cicada3301 是一款以 Rust 語言開發的勒索軟體,能同時加密 Windows 和 Linux/VMware ESXi 系統。有分析報告指出,該惡意程式
特別針對 VMware ESXi Linux 系統進行加密攻擊。
與 BlackCat 和 RansomHub 等其他勒索軟體族群相似,Cicada3301 需要透過命令列輸入特定金鑰才能啟動加密程序。這個金鑰用來解密一個加密過的 JSON 檔案,裡面包含了執行加密所需的設定資訊。加密程式會先用這個金鑰來解密勒索信,藉此確認金鑰的有效性。如果解密成功,才會繼續執行後續的加密動作。
Cicada3301 的主要加密功能(linux_enc)
使用 ChaCha20 串流加密演算法來加密檔案,並以 RSA 金鑰加密過程中使用的對稱金鑰。而加密金鑰則是透過 'OsRng' 函數隨機生成。
勒索軟體會鎖定特定類型的文件和多媒體檔案,並根據檔案大小決定加密方式:
超過 100MB 的大型檔案採用間歇性加密,小於 100MB 的則全部加密。加密檔案時,程式會在原檔名後面加上一個隨機的七個字元副檔名,並建立一個名為 '
RECOVER-[副檔名]-DATA.txt' 的勒索說明檔。
勒索軟體操作者可設定延遲參數,推遲加密程式的執行時間,以避免即時偵測。此外,透過設定「
no_vm_ss」參數,惡意程式能直接加密 VMware ESXi 虛擬機,無需先關閉它們。
預設情況下,Cicada3301 會先使用 ESXi 的「esxcli」和「vim-cmd」指令關閉虛擬機並刪除其快照,再開始加密資料。這種做法可能提高攻擊成功率,避免運行中虛擬機可能造成的檔案鎖定問題。
本文轉載自 BleepingComputer。