От ALPHV до Cicada3301: новая маска для старых вымогателей

Безопасный VPN через Телеграмм – обойди все блокировки:

Появление новой группировки порождает все больше вопросов к её происхождению.

Специалисты Truesec рассказали о новой киберпреступной группировке Cicada3301, которая, работая по модели RaaS, уже атаковала 19 жертв по всему миру и озадачила исследователей безопасности.

Название Cicada3301 позаимствовано у знаменитой онлайн-игры 2012-2014 годов, которая отличалась сложными криптографическими головоломками. Тем не менее, оригинальный проект никак не связан с новой киберпреступной группировкой и категорически осуждает её действия.

Кибератаки Cicada3301 впервые были зафиксированы 6 июня, хотя официальное объявление о начале операции появилось только 29 июня на форуме RAMP. Это указывает на то, что группа действовала самостоятельно до начала привлечения партнеров.

Подобно другим операциям вымогателей, Cicada3301 применяет тактику двойного вымогательства. Сначала злоумышленники проникают в корпоративные сети, крадут данные, а затем шифруют устройства. Ключи шифрования и угрозы утечки данных используются как средство давления на жертв, вынуждая их выплатить выкуп.

Truesec выявила значительное сходство между Cicada3301 и ALPHV/BlackCat. Специалисты предполагают, что Cicada3301 может быть переименованной версией ALPHV или её производной, созданной бывшими членами группы. Оба вымогателя написаны на языке Rust, используют алгоритм ChaCha20 для шифрования и применяют одинаковые команды для выключения виртуальных машин и удаления образов, а также общий формат имени файла с инструкциями по восстановлению данных.

Купи VPN в России за минуту через наш Телеграмм-бот:

Cicada3301 использовала скомпрометированные учетные данные для первоначальной атаки, осуществлённой через программу удалённого доступа ScreenConnect. Также Truesec обнаружила, что IP-адрес, использованный для атаки, связан с ботнетом Brutus, который ранее был замечен в масштабных атаках на устройства с VPN, такие как Cisco, Fortinet, Palo Alto и SonicWall. Временные рамки активности Brutus совпадают с прекращением деятельности ALPHV, что усиливает предположения о связи между двумя группами.

  $60 млн убытков и проблемы с доверием: как дела у CrowdStrike после глобального сбоя

Особое внимание Cicada3301 уделяет атаке на среды VMware ESXi, что подтверждается анализом шифровальщика для Linux/VMware ESXi, который требует ввода специального ключа для начала операции. Основная функция шифровальщика использует потоковый шифр ChaCha20 для шифрования файлов, а затем шифрует симметричный ключ с помощью RSA. При этом злоумышленники нацелены на файлы определённых расширений, используя промежуточное шифрование для больших файлов.

Cicada3301 также использует методы, затрудняющие восстановление данных после атаки. Например, шифровальщик может зашифровать виртуальные машины VMware ESXi без их предварительного отключения, что усложняет процесс восстановления после атаки.

Не исключено, что Cicada3301 — это перерождение группы BlackCat или результат их сотрудничества с ботнетом Brutus для получения доступа к жертвам. Возможна и другая версия, согласно которой код ALPHV был приобретён и адаптирован другими киберпреступниками, поскольку в своё время BlackCat заявила о продаже исходного кода своего вымогательского ПО за $5 миллионов.

Все факты указывают на то, что Cicada3301 управляется опытными киберпреступниками, которые знают своё дело. Их успешные атаки на компании и серьёзный ущерб, который они наносят корпоративным сетям, свидетельствуют о том, что данная группировка представляет значительную угрозу для бизнеса. Внимание Cicada3301 к средам VMware ESXi подчёркивает их стратегический подход к максимальному нанесению ущерба и получению выгоды от выкупа.

Станьте призраком в интернете

Узнайте как на нашем канале

Присоединяйтесь сейчас

Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.

Почему стоит использовать платный VPN сервис?

  • Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
  • Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
  • Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.
  Звонок-ловушка: как одно обновление может лишить вас всех сбережений

Добавить комментарий

Вернуться наверх