Siber güvenlik araştırmacıları, hizmet olarak yeni ortaya çıkan bir fidye yazılımı (RaaS) hakkında ek bilgiler topladı. ağustosböceği3301 grubun karanlık ağdaki ortaklık paneline başarıyla erişim sağladıktan sonra.
Singapur merkezli Group-IB, RAMP siber suç forumunda Cicada3301 kişiliğinin arkasındaki tehdit aktörüyle, Tox mesajlaşma hizmeti aracılığıyla ortaklık programına yeni ortaklar çağıran bir reklam yayınladıktan sonra iletişime geçtiğini söyledi.
Araştırmacılar Nikolay Kichatov ve Sharmine Low, “Cicada3301 fidye yazılımı grubunun İştirakler panelinin kontrol panelinde Kontrol Paneli, Haberler, Şirketler, Sohbet Şirketleri, Sohbet Desteği, Hesap, SSS bölümü ve Oturumu Kapatma gibi bölümler bulunuyordu” söz konusu bugün yayınlanan yeni bir analizde.
Cicada3301 ilk olarak Haziran 2024’te siber güvenlik topluluğunun artık kullanılmayan BlackCat fidye yazılımı grubuyla güçlü kaynak kodu benzerliklerini ortaya çıkarmasıyla ortaya çıktı. RaaS planının, çoğu ABD ve Birleşik Krallık’ta bulunan kritik sektörlerdeki en az 30 kuruluşun güvenliğini tehlikeye attığı tahmin ediliyor
Rust tabanlı fidye yazılımı platformlar arasıdır ve bağlı kuruluşların Windows, Linux dağıtımları Ubuntu, Debian, CentOS, Rocky Linux, Scientific Linux, SUSE, Fedora, ESXi, NAS, PowerPC, PowerPC64 ve PowerPC64LE çalıştıran cihazları hedeflemesine olanak tanır.
Diğer fidye yazılımı türlerinde olduğu gibi, Cicada3301’i içeren saldırılar da dosyaları tamamen veya kısmen şifreleme yeteneğine sahiptir; ancak bu, sanal makineleri kapatmadan, sistem kurtarmayı engellemeden, işlemleri ve hizmetleri sonlandırmadan ve gölge kopyaları silmeden önce gerçekleşmez. Ayrıca maksimum etki için ağ paylaşımlarını şifreleme yeteneğine de sahiptir.
Araştırmacılar, “Cicada3301, penetrasyon test uzmanlarını (pentester’lar) ve erişim komisyoncularını işe alan, %20 komisyon sunan ve bağlı kuruluşlar için kapsamlı özelliklere sahip web tabanlı bir panel sağlayan bir ortaklık programı yürütüyor” dedi.
Satış ortağı panelindeki farklı bölümlerin özeti aşağıdaki gibidir:
- Kontrol Paneli – Ortak tarafından yapılan başarılı veya başarısız oturum açma işlemlerine ve saldırıya uğrayan şirket sayısına genel bakış
- Haberler – Ürün güncellemeleri hakkında bilgiler ve Cicada3301 fidye yazılımı programının haberleri
- Şirketler – Kurban ekleme (örn. şirket adı, talep edilen fidye miktarı, indirimin son kullanma tarihi vb.) ve Cicada3301 fidye yazılımı yapıları oluşturma seçenekleri sunar
- Sohbet Şirketleri – Mağdurlarla iletişim kurmak ve müzakere etmek için bir arayüz
- Sohbet Desteği – Bağlı kuruluşların sorunları çözmek için Cicada3301 fidye yazılımı grubunun temsilcileriyle iletişim kurabileceği bir arayüz
- Hesap – Ortaklık hesap yönetimine ve şifrelerini sıfırlamaya ayrılmış bir bölüm
- SSS – “Şirketler” bölümünde kurban oluşturma, oluşturucuyu yapılandırma ve fidye yazılımını farklı işletim sistemlerinde çalıştırma adımlarına ilişkin kurallar ve kılavuzlar hakkında ayrıntılar sağlar
Araştırmacılar, “Cicada3301 fidye yazılımı grubu, karmaşık operasyonları ve gelişmiş araçları nedeniyle fidye yazılımı ortamında hızla önemli bir tehdit haline geldi” dedi.
“ChaCha20 + RSA şifrelemesinden yararlanarak ve özelleştirilebilir bir ortaklık paneli sunarak Cicada3301, bağlı kuruluşlarının yüksek hedefli saldırılar gerçekleştirmesine olanak tanıyor. Şifrelemeden önce verileri sızdırma yaklaşımları, kurbanlar üzerinde ek bir baskı katmanı oluştururken, sanal makineleri durdurma yeteneği de etkiyi artırıyor saldırılarından dolayı.”
