VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã khám phá ra hoạt động bên trong của một biến thể ransomware mới có tên là Cicada3301 có nhiều điểm tương đồng với chiến dịch BlackCat (hay còn gọi là ALPHV) hiện đã không còn tồn tại.

Công ty an ninh mạng Morphisec cho biết trong một báo cáo kỹ thuật chia sẻ với The Hacker News: "Có vẻ như phần mềm tống tiền Cicada3301 chủ yếu nhắm vào các doanh nghiệp vừa và nhỏ (SMB), có khả năng thông qua các cuộc tấn công cơ hội khai thác lỗ hổng bảo mật làm phương thức truy cập ban đầu".


Được viết bằng Rust và có khả năng nhắm mục tiêu vào cả máy chủ Windows và Linux/ESXi, Cicada3301 lần đầu tiên xuất hiện vào tháng 6 năm 2024, mời các chi nhánh tiềm năng tham gia nền tảng ransomware-as-a-service (RaaS) của họ thông qua một quảng cáo trên diễn đàn ngầm RAMP.

Một khía cạnh đáng chú ý của phần mềm tống tiền này là tệp thực thi sẽ nhúng thông tin đăng nhập của người dùng bị xâm phạm, sau đó thông tin này sẽ được sử dụng để chạy PsExec, một công cụ hợp pháp cho phép chạy chương trình từ xa.

Điểm tương đồng giữa Cicada3301 và BlackCat còn mở rộng đến việc sử dụng ChaCha20 để mã hóa, fsutil để đánh giá các liên kết tượng trưng và mã hóa các tệp được chuyển hướng, cũng như IISReset.exe để dừng các dịch vụ IIS và mã hóa các tệp có thể bị khóa để sửa đổi hoặc xóa.

Những điểm trùng lặp khác với BlackCat bao gồm các bước thực hiện để xóa bản sao ẩn, vô hiệu hóa chức năng phục hồi hệ thống bằng cách thao tác tiện ích bcdedit, tăng giá trị MaxMpxCt để hỗ trợ lưu lượng truy cập lớn hơn (ví dụ: yêu cầu SMB PsExec) và xóa tất cả nhật ký sự kiện bằng cách sử dụng tiện ích wevtutil.


Cicada3301 cũng đã quan sát thấy việc dừng các máy ảo (VM) được triển khai cục bộ, một hành vi trước đây được ransomware Megazord và ransomware Yanluowang áp dụng, và chấm dứt nhiều dịch vụ sao lưu và phục hồi cũng như danh sách được mã hóa cứng gồm hàng chục quy trình.

Bên cạnh việc duy trì danh sách tích hợp các tệp và thư mục bị loại trừ trong quá trình mã hóa, phần mềm tống tiền này còn nhắm mục tiêu vào tổng cộng 35 phần mở rộng tệp - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm và txt.

Morphisec cho biết cuộc điều tra của họ cũng phát hiện thêm các công cụ như EDRSandBlast, công cụ biến trình điều khiển đã ký dễ bị tấn công thành vũ khí để vượt qua các phát hiện của EDR, một kỹ thuật cũng được nhóm ransomware BlackByte áp dụng trong quá khứ.

Những phát hiện này tiếp nối phân tích của Truesec về phiên bản ESXi của Cicada3301, đồng thời cũng phát hiện ra dấu hiệu cho thấy nhóm này có thể đã hợp tác với những người điều hành mạng botnet Brutus để có được quyền truy cập ban đầu vào mạng doanh nghiệp.

"Bất kể Cicada3301 có phải là thương hiệu mới của ALPHV hay không, chúng có một phần mềm tống tiền do cùng một nhà phát triển với ALPHV viết hay chúng chỉ sao chép một số phần của ALPHV để tạo ra phần mềm tống tiền của riêng chúng, thì dòng thời gian cho thấy sự sụp đổ của BlackCat và sự xuất hiện của mạng botnet Brutus đầu tiên, sau đó là hoạt động tống tiền Cicada3301 có thể đều có liên quan đến nhau", công ty lưu ý.

Các cuộc tấn công vào hệ thống VMware ESXi cũng bao gồm việc sử dụng mã hóa không liên tục để mã hóa các tệp lớn hơn ngưỡng đã đặt (100 MB) và một tham số có tên "no_vm_ss" để mã hóa các tệp mà không cần tắt máy ảo đang chạy trên máy chủ.

Sự xuất hiện của Cicada3301 cũng đã thúc đẩy một "phong trào phi chính trị" mang tên mình, chuyên nghiên cứu các câu đố mật mã "bí ẩn", đưa ra tuyên bố rằng họ không liên quan gì đến chương trình tống tiền này.