Siber güvenlik araştırmacıları, artık faaliyette olmayan BlackCat (diğer adıyla ALPHV) operasyonuyla benzerlikler taşıyan Cicada3301 adlı yeni bir fidye yazılımı türünün iç işleyişini ortaya çıkardı.
Siber güvenlik şirketi Morphisec, “Cicada3301 fidye yazılımının öncelikli olarak küçük ve orta ölçekli işletmeleri (KOBİ’ler) hedef aldığı ve muhtemelen ilk erişim vektörü olarak güvenlik açıklarını kullanan fırsatçı saldırılar yoluyla hedef aldığı görülüyor” dedi. söz konusu The Hacker News ile paylaşılan teknik raporda.
Rust dilinde yazılan ve hem Windows hem de Linux/ESXi ana bilgisayarlarını hedef alabilen Cicada3301, ilk olarak Haziran 2024’te RAMP yeraltı forumunda bir reklam aracılığıyla potansiyel iştirakçileri fidye yazılımı hizmeti (RaaS) platformlarına katılmaya davet ederek ortaya çıktı.
Fidye yazılımının dikkat çekici bir yönü, yürütülebilir dosyanın, daha sonra çalıştırmak için kullanılan, tehlikeye atılan kullanıcının kimlik bilgilerini içermesidir. Ps Yöneticisiuzaktan program çalıştırmayı mümkün kılan meşru bir araçtır.
Cicada3301’in BlackCat ile benzerlikleri şifreleme için ChaCha20 kullanımına kadar uzanır. fsutil sembolik bağlantıları değerlendirmek ve yönlendirilen dosyaları şifrelemek için, ayrıca IISReset.exe’yi IIS hizmetlerini durdurmak ve aksi takdirde değişiklik veya silme için kilitlenebilecek dosyaları şifrelemek için kullanır.
BlackCat’e ilişkin diğer örtüşmeler arasında gölge kopyaları silmek, sistem kurtarmayı manipüle ederek devre dışı bırakmak için atılan adımlar yer alır. bcdedit fayda, artırmak MaksimumMpxCt daha yüksek hacimli trafiği (örneğin, SMB PsExec istekleri) desteklemek için değer ve tüm olay günlüklerini temizlemek için yardımcı program fayda.
Cicada3301 ayrıca daha önce Megazord ve Yanluowang fidye yazılımları tarafından da benimsenen yerel olarak dağıtılan sanal makineleri (VM) durdurmayı ve çeşitli yedekleme ve kurtarma hizmetlerini ve düzinelerce işlemden oluşan sabit kodlu listeyi sonlandırmayı da gözlemledi.
Şifreleme işlemi sırasında hariç tutulan dosya ve dizinlerin yerleşik bir listesini tutmanın yanı sıra, fidye yazılımı toplam 35 dosya uzantısını hedefliyor: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm ve txt.
Morphisec, araştırmasının ayrıca şu gibi ek araçları da ortaya çıkardığını söyledi: EDRSandPatlama EDR tespitlerini atlatmak için savunmasız imzalı bir sürücüyü silah olarak kullanan, geçmişte BlackByte fidye yazılımı grubu tarafından da benimsenen bir teknik.
Bulgular, Truesec’in Cicada3301’in ESXi sürümüne ilişkin analizini takip ederken, aynı zamanda grubun operatörlerle işbirliği yapmış olabileceğine dair belirtileri de ortaya çıkarıyor. Brutus botnet kurumsal ağlara ilk erişimi elde etmek için.
“Cicada3301’in ALPHV’nin yeniden markalanmış hali olup olmadığına, ALPHV ile aynı geliştirici tarafından yazılmış bir fidye yazılımına sahip olup olmadıklarına veya kendi fidye yazılımlarını yapmak için ALPHV’nin parçalarını kopyalayıp kopyalayıp kopyalayıp kopyalamadıklarına bakılmaksızın, zaman çizelgesi BlackCat’in sonunun ve önce Brutus botnet’inin, ardından da Cicada3301 fidye yazılımı operasyonunun ortaya çıkmasının muhtemelen birbirine bağlı olabileceğini gösteriyor,” diyor şirket. not edildi.
VMware ESXi sistemlerine yönelik saldırılar, belirli bir eşik değerinden (100 MB) büyük dosyaları şifrelemek için aralıklı şifreleme ve ana bilgisayarda çalışan sanal makineleri kapatmadan dosyaları şifrelemek için “no_vm_ss” adlı bir parametrenin kullanılmasını da içeriyor.
Cicada3301’in ortaya çıkışı, aynı zamanda “gizemli” konulara bulaşmış, aynı adı taşıyan “politik olmayan bir hareketi” de harekete geçirdi. kriptografik bulmacalarbir yayın yapmak ifade fidye yazılımı planıyla hiçbir bağlantısı olmadığını.
