VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã thu thập thêm thông tin chi tiết về một loại ransomware-as-a-service (RaaS) mới có tên là Cicada3301 sau khi thành công trong việc truy cập vào bảng điều khiển liên kết của nhóm này trên dark web.

Group-IB có trụ sở tại Singapore cho biết họ đã liên hệ với tác nhân đe dọa đằng sau nhân vật Cicada3301 trên diễn đàn tội phạm mạng RAMP thông qua dịch vụ nhắn tin Tox sau khi tác nhân này đăng quảng cáo kêu gọi các đối tác mới tham gia chương trình liên kết của mình.


"Trong bảng điều khiển của nhóm phần mềm tống tiền Cicada3301 có các mục như Bảng điều khiển, Tin tức, Công ty, Công ty trò chuyện, Hỗ trợ trò chuyện, Tài khoản, phần Câu hỏi thường gặp và Đăng xuất", các nhà nghiên cứu Nikolay Kichatov và Sharmine Low cho biết trong một phân tích mới được công bố ngày hôm nay.

Cicada3301 lần đầu tiên được phát hiện vào tháng 6 năm 2024, khi cộng đồng an ninh mạng phát hiện ra những điểm tương đồng mạnh mẽ về mã nguồn với nhóm ransomware BlackCat hiện đã không còn tồn tại. Kế hoạch RaaS này ước tính đã xâm phạm không dưới 30 tổ chức trên khắp các lĩnh vực quan trọng, hầu hết trong số đó nằm ở Hoa Kỳ và Vương quốc Anh

Phần mềm tống tiền dựa trên Rust hoạt động đa nền tảng, cho phép kẻ tấn công nhắm vào các thiết bị chạy Windows, bản phân phối Linux Ubuntu, Debian, CentOS, Rocky Linux, Scientific Linux, SUSE, Fedora, ESXi, NAS, PowerPC, PowerPC64 và PowerPC64LE.

Giống như các chủng ransomware khác, các cuộc tấn công liên quan đến Cicada3301 có khả năng mã hóa toàn bộ hoặc một phần các tệp, nhưng không phải trước khi tắt máy ảo, ngăn chặn quá trình khôi phục hệ thống, chấm dứt các quy trình và dịch vụ và xóa các bản sao ẩn. Nó cũng có khả năng mã hóa các chia sẻ mạng để có tác động tối đa.

Các nhà nghiên cứu lưu ý rằng "Cicada3301 điều hành một chương trình liên kết tuyển dụng người thử nghiệm xâm nhập (pentester) và nhà môi giới truy cập, cung cấp mức hoa hồng 20% và cung cấp bảng điều khiển trên web với nhiều tính năng mở rộng cho các chi nhánh".


Tóm tắt các phần khác nhau như sau:

• Bảng điều khiển - Tổng quan về các lần đăng nhập thành công hoặc thất bại của chi nhánh và số lượng công ty bị tấn công
• Tin tức - Thông tin về các bản cập nhật sản phẩm và tin tức về chương trình ransomware Cicada3301
• Công ty - Cung cấp các tùy chọn để thêm nạn nhân (ví dụ: tên công ty, số tiền chuộc được yêu cầu, ngày hết hạn giảm giá, v.v.) và tạo bản dựng ransomware Cicada3301
• Công ty trò chuyện - Giao diện để giao tiếp và đàm phán với nạn nhân
• Hỗ trợ trò chuyện - Giao diện để các chi nhánh giao tiếp với đại diện của nhóm ransomware Cicada3301 để giải quyết các vấn đề
• Tài khoản - Một phần dành riêng cho việc quản lý tài khoản liên kết và đặt lại mật khẩu của họ
• Câu hỏi thường gặp - Cung cấp thông tin chi tiết về các quy tắc và hướng dẫn về cách tạo nạn nhân trong phần "Công ty", cấu hình trình xây dựng và các bước thực thi phần mềm tống tiền trên các hệ điều hành khác nhau

Các nhà nghiên cứu cho biết: "Nhóm ransomware Cicada3301 đã nhanh chóng khẳng định mình là mối đe dọa đáng kể trong bối cảnh ransomware, nhờ vào hoạt động tinh vi và công cụ tiên tiến".

"Bằng cách tận dụng mã hóa ChaCha20 + RSA và cung cấp bảng điều khiển liên kết có thể tùy chỉnh, Cicada3301 cho phép các chi nhánh của mình thực hiện các cuộc tấn công có mục tiêu cao. Cách tiếp cận của họ là đánh cắp dữ liệu trước khi mã hóa tạo thêm một lớp áp lực cho nạn nhân, trong khi khả năng dừng máy ảo làm tăng tác động của các cuộc tấn công của họ."