一(yī)個(gè)名為(wèi) Cicada3301 的(de)新勒索軟件(jiàn)即服務 (RaaS) 行(xíng)動迅速在全球發起®了(le)網絡攻擊，已在其勒索門(mén)戶網站(zhàn)上(shàng)列出了(le) 19 名受害者。

這(zhè)項新的(de)網絡犯罪行(xíng)動以遊戲命名，該遊戲涉及複雜(zá)的(de)加密謎題，并使用(yòng)相(xiàng)同的(de)徽¶标在網絡犯罪論壇上(shàng)進行(xíng)推廣。然而，其實兩者之間(jiān)沒有(yǒu)任何聯系。

Cicada3301 RaaS 已于 2024 年(nián) 6 月(yuè) 在勒索軟件(jiàn)和(hé)網絡©犯罪論壇 RAMP 的(de)論壇帖子(zǐ)中首次開(kāi)始推廣該行(xíng)動并招募會(huì)員(yuán)。

然而，外(wài)媒早已注意到(dào) Cicada 攻擊，這(zhè)表明(míng)該團夥在試圖招募分(f₩ēn)支機(jī)構之前是(shì)獨立運作(zuò)的(de)。

Cicada3301 勒索軟件(jiàn)運營商在 RAMP 論壇上(shàng)尋找附屬機(jī)構

與其他(tā)勒索軟件(jiàn)操作(zuò)一(yī)樣，Cicada3301 采取雙重勒索策略，即入侵公司網絡、竊取數(shù)據，然後加密設備。然後利用(yòng)加密密鑰和(hé)Ω洩露被盜數(shù)據的(de)威脅作(zuò)為(wèi)手段，恐吓受害者支付贖金(jīn)。

威脅者運營一(yī)個(gè)數(shù)據洩露網站(zhàn)，将其用(yòng)作(zuò)雙重勒索計(jσì)劃的(de)一(yī)部分(fēn)。

Cicada3301 勒索門(mén)戶

Truesec 對(duì)新惡意軟件(jiàn)的(de)分(fēn)析顯示，Cicada3301 與 ALPHV/BlαackCat 之間(jiān)存在顯著的(de)重疊，表明(míng)可(kě)能(néng)是(shì)由前 A LPHV 核心團隊成員(yuán)創建的(de)品牌重塑或分(fēn)叉。

這(zhè)是(shì)基于以下(xià)事(shì)實：

·兩者都(dōu)是(shì)用(yòng) Rust 編寫的(de)。

·兩者都(dōu)使用(yòng) ChaCha20 算(suàn)法進行(xíng)加密。

·兩者都(dōu)使用(yòng)相(xiàng)同的(de) VM 關閉和(hé)快(kuài)照(zhào)擦除命令。

·兩者都(dōu)使用(yòng)相(xiàng)同的(de)用(yòng)戶界面命令參數(shù)、相(xiàng)同的•(de)文(wén)件(jiàn)命名約定和(hé)相(xiàng)同的(de)勒索信解密方法。

·兩者都(dōu)對(duì)較大(dà)的(de)文(wén)件(jiàn)使用(yòng)間(jiān)歇性加密。

具體(tǐ)來(lái)說(shuō)，ALPHV 在 2024 年(nián) 3 月(yuè)初實施了(le)一(yī)次退出騙局，涉及虛假聲稱 F∏BI 正在進行(xíng)的(de)打擊行(xíng)動，此前他(tā)們從(cóng) Change Healthcare 的(de)一(y¥ī)家(jiā)附屬公司竊取了(le) 2200 萬美(měi)元的(de)巨額付款。

Truesec 還(hái)發現(xiàn)有(yǒu)迹象表明(míng)，Cicada3301 >勒索軟件(jiàn)行(xíng)動可(kě)能(néng)與 Brutus 僵屍網絡合作(zuò)或利用(yòng)該網絡對(d↔uì)企業(yè)網絡進行(xíng)初始訪問(wèn)。該僵屍網絡之前曾與針對(duì)思科(kē)、Fortin✘et、Palo Alto 和(hé) SonicWall 設備的(de)全球規模 VPN 暴力破解活動有(yǒu)關。

值得(de)注意的(de)是(shì)，Brutus 活動是(shì)在 ALPHV 關閉運營兩周後首次發現(xiàn)的(de)，因此從♣(cóng)時(shí)間(jiān)線來(lái)看(kàn)，這(zhè)兩個(gè)組織之間(jiān)的(de)聯系仍然存在。

VMware ESXi 面臨另一(yī)個(gè)威脅

Cicada3301 是(shì)一(yī)款基于 Rust 的(de)勒索軟件(jiàn)，同時(shí)具有>(yǒu) Windows 和(hé) Linux/VMware ESXi 加密器(qì)。作(zuò)為(wèi) Truesec 報(bào)告的(de)一(yī)部分(fēn)'，研究人(rén)員(yuán)分(fēn)析了(le)勒索軟件(jiàn)操作(zuò)的(de) VMWare ESXi Linux 加密器(qì)。

與 BlackCat 和(hé)其他(tā)勒索軟件(jiàn)系列（如(rú) RansomHub）一(yī)樣，必須輸入特殊密鑰作(zuò)為(wèi)命令行(xíγng)參數(shù)才能(néng)啓動加密器(qì)。此密鑰用(yòng)于解密加密的(de) JSON blob，其中包含加密器(qì)在加密設備時(shí)将使用(yòng)的(de)配置¶。

Truesec 表示，加密器(qì)會(huì)使用(yòng)密鑰解密勒索信來(lái)檢查密鑰的(de)有(yǒu)效性，如(rú)≥果成功，則繼續執行(xíng)其餘的(de)加密操作(zuò)。

其主要(yào)功能(néng)（linux_enc）使用(yòng) ChaCha20 流密碼進行(xíng±)文(wén)件(jiàn)加密，然後使用(yòng) RSA 密鑰加密過程中使用(yòng)的(de)對(duì)稱密鑰。加密密鑰是(shì)使用(yòng)“OsRng”函數(shù)随機(γjī)生(shēng)成的(de)。

Cicada3301 針對(duì)與文(wén)檔和(hé)媒體(tǐ)文(wén)件(jiàn)匹配的(de)特定文(wén)件(jiàn)擴展名，并檢查其大(dà)小(xiǎ$o)以确定在哪裡(lǐ)應用(yòng)間(jiān)歇性加密（> 100MB）以及在哪裡(lǐ)加密整個(gè)文(wén)件(ji àn)內(nèi)容（<100MB）。

在加密文(wén)件(jiàn)時(shí)，加密器(qì)會(huì)在文(wén)件(jiàn)名後附加一(yī)個(gè)随機(jī)的(de)七個(gè)字符的(de)擴展¥名，并創建名為(wèi)“RECOVER-[擴展名]-DATA.txt”的(de)勒索信，如(rú)下(xià)所示。

值得(de)注意的(de)是(shì)，BlackCat/ALPHV 加密器(qì)也(yě)使用(yòng)了(le)随機(jī)的(de)七個(gè)≤字符的(de)擴展名和(hé)名為(wèi)“RECOVER-[擴展名]-FILES.txt”的(de)勒索信。

Cicada3301 勒索信

勒索軟件(jiàn)的(de)操作(zuò)員(yuán)可(kě)以設置休眠參數(shù)來(lái)延遲加密器(qì)的(de)執行(xíng)φ，從(cóng)而可(kě)能(néng)逃避立即檢測。“no_vm_ss”參數(shù)還(hái)命令惡意軟件(jiàn)加密 VMware ESXαi 虛拟機(jī)而不(bù)嘗試先關閉它們。

但(dàn)是(shì)，默認情況下(xià)，Cicada3301 首先使用(yòng) ESXi 的(de)“es€xcli”和(hé)“vim-cmd”命令關閉虛拟機(jī)并删除其快(kuài)照(zhào)，然後再加密數(shù)據。

Cicada3301 的(de)成功率表明(míng)攻擊者經驗豐富，且目的(de)明(míng)确清晰。這(zhè)進一(yī)步支持了(le) ALPHV 重啓的(de)假設，或者至少(sΩhǎo)利用(yòng)了(le)具有(yǒu)勒索軟件(jiàn)經驗的(de)關聯方。

新勒索軟件(jiàn)專注于 ESXi 環境，凸顯了(le)其戰略設計(jì)，旨在最大(dà)限度地(dì)破壞企業(yè)環境，而許多(duō )威脅者現(xiàn)在将企業(yè)環境作(zuò)為(wèi)獲利目标。

Cicada3301 将文(wén)件(jiàn)加密與破壞虛拟機(jī)操作(zuò)和(hé)删除恢複選項的(de)能(néng)力相(xiàng)結合，确保可≤(kě)以發起影(yǐng)響整個(gè)網絡和(hé)基礎設施的(de)高(gāo)影(yǐng)響力攻擊，從(có∑ng)而最大(dà)限度地(dì)給受害者施加壓力。