От ALPHV до Cicada3301: новая маска для старых вымогателей

Специалисты Truesec рассказали о новой киберпреступной группировке Cicada3301, которая, работая по модели RaaS, уже атаковала 19 жертв по всему миру и озадачила исследователей безопасности.

Название Cicada3301 позаимствовано у знаменитой онлайн-игры 2012-2014 годов, которая отличалась сложными криптографическими головоломками. Тем не менее, оригинальный проект никак не связан с новой киберпреступной группировкой и категорически осуждает её действия.

Кибератаки Cicada3301 впервые были зафиксированы 6 июня, хотя официальное объявление о начале операции появилось только 29 июня на форуме RAMP. Это указывает на то, что группа действовала самостоятельно до начала привлечения партнеров.

Подобно другим операциям вымогателей, Cicada3301 применяет тактику двойного вымогательства. Сначала злоумышленники проникают в корпоративные сети, крадут данные, а затем шифруют устройства. Ключи шифрования и угрозы утечки данных используются как средство давления на жертв, вынуждая их выплатить выкуп.

Truesec выявила значительное сходство между Cicada3301 и ALPHV/BlackCat. Специалисты предполагают, что Cicada3301 может быть переименованной версией ALPHV или её производной, созданной бывшими членами группы. Оба вымогателя написаны на языке Rust, используют алгоритм ChaCha20 для шифрования и применяют одинаковые команды для выключения виртуальных машин и удаления образов, а также общий формат имени файла с инструкциями по восстановлению данных.

Cicada3301 использовала скомпрометированные учетные данные для первоначальной атаки, осуществлённой через программу удалённого доступа ScreenConnect. Также Truesec обнаружила, что IP-адрес, использованный для атаки, связан с ботнетом Brutus, который ранее был замечен в масштабных атаках на устройства с VPN, такие как Cisco, Fortinet, Palo Alto и SonicWall. Временные рамки активности Brutus совпадают с прекращением деятельности ALPHV, что усиливает предположения о связи между двумя группами.

Особое внимание Cicada3301 уделяет атаке на среды VMware ESXi, что подтверждается анализом шифровальщика для Linux/VMware ESXi, который требует ввода специального ключа для начала операции. Основная функция шифровальщика использует потоковый шифр ChaCha20 для шифрования файлов, а затем шифрует симметричный ключ с помощью RSA. При этом злоумышленники нацелены на файлы определённых расширений, используя промежуточное шифрование для больших файлов.

Cicada3301 также использует методы, затрудняющие восстановление данных после атаки. Например, шифровальщик может зашифровать виртуальные машины VMware ESXi без их предварительного отключения, что усложняет процесс восстановления после атаки.

Не исключено, что Cicada3301 — это перерождение группы BlackCat или результат их сотрудничества с ботнетом Brutus для получения доступа к жертвам. Возможна и другая версия, согласно которой код ALPHV был приобретён и адаптирован другими киберпреступниками, поскольку в своё время BlackCat заявила о продаже исходного кода своего вымогательского ПО за $5 миллионов.

Все факты указывают на то, что Cicada3301 управляется опытными киберпреступниками, которые знают своё дело. Их успешные атаки на компании и серьёзный ущерб, который они наносят корпоративным сетям, свидетельствуют о том, что данная группировка представляет значительную угрозу для бизнеса. Внимание Cicada3301 к средам VMware ESXi подчёркивает их стратегический подход к максимальному нанесению ущерба и получению выгоды от выкупа.