新的基于Rust的勒索软件Cicada3301针对Windows和Linux系统

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科新的基于Rust的勒索软件Cicada3301针对Windows和Linux系统

网络安全研究人员解开了一种名为Cicada3301的新勒索软件变体的内部运作,该变体与现已停业的BlackCat(又名ALPHV)操作有相似之处。

网络安全公司Morphisec在与The Hacker News分享的一份技术报告中表示,Cicada3301勒索软件似乎主要针对中小型企业(SMB),可能通过机会主义攻击,利用漏洞作为初始访问载体。

Cicada3301以Rust编写,能够针对Windows和Linux/ESXi主机,于2024年6月首次出现,通过RAMP地下论坛上的广告邀请潜在附属公司加入他们的勒索软件即服务(RaaS)平台。

勒索软件的一个显著方面是,可执行文件嵌入了被入侵用户的凭据,然后用于运行PsExec,PsExec是一个合法工具,可以远程运行程序。

图片[2]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科新的基于Rust的勒索软件Cicada3301针对Windows和Linux系统

Cicada3301与BlackCat的相似之处还延伸到它使用ChaCha20进行加密,fsutil来评估符号链接和加密重定向文件,以及IISReset.exe来停止IIS服务和加密否则可能会被锁定以进行修改或删除的文件。

BlackCat的其他重叠包括删除影子副本、通过操作bcdedit实用程序禁用系统恢复、增加MaxMpxCt值以支持更多流量(例如SMB PsExec请求)以及利用wevtutil实用程序清除所有事件日志的步骤。

图片[3]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科新的基于Rust的勒索软件Cicada3301针对Windows和Linux系统

Cicada3301还观察到停止本地部署的虚拟机(VM),这是Megazord勒索软件和Yanluowang勒索软件之前采用的行为,并终止了各种备份和恢复服务以及数十个进程的硬编码列表。

除了在加密过程中维护排除文件和目录的内置列表外,勒索软件还针对总共35个文件扩展名-sql、doc、rtf、xls、jpg、jpeg、psd、docm、xlsm、ods、ppsx、png、raw、dotx、xltx、pptx、ppsm、gif、bmp、dotm、xltm、pptm、odp、webp、pdf、odt、xlsb、ptox、mdf、tiff、docx、xlsx、x、xlam、potm和txt。

Morphisec表示,其调查还发现了其他工具,如EDRSandBlast,这些工具将脆弱的签名驱动程序武器化,以绕过EDR检测,BlackByte勒索软件集团过去也采用了这项技术。

这些发现遵循了Truesec对Cicada3301的ESXi版本的分析,同时也揭示了该集团可能与Brutus僵尸网络的运营商合作,以获得对企业网络的初始访问的迹象。

该公司指出,“无论Cicada3301是否是ALPHV的品牌重塑,他们都有与ALPHV相同的开发人员编写的勒索软件,或者他们只是复制了ALPHV的部分内容来制作自己的勒索软件,时间线表明BlackCat的消亡和首先Brutus僵尸网络的出现,然后是Cicada3301勒索软件操作可能都是相关的。”

对VMware ESXi系统的攻击还需要使用间歇性加密来加密大于设定阈值(100 MB)的文件,以及名为“no_vm_ss”的参数来加密文件,而不关闭在主机上运行的虚拟机。

Cicada3301的出现也促使了一个同名的“非政治运动”,该运动涉足“神秘”的加密谜题,发表声明,称它与勒索软件计划没有关系。

来源:thehacknews

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞12 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容