Une nouvelle opération de ransomware en tant que service (RaaS) nommée Cicada 3301 a déjà répertorié 19 victimes sur son portail d’extorsion, car elle a rapidement attaqué des entreprises du monde entier.
La nouvelle opération de cybercriminalité porte le nom du mystérieux jeu en ligne/réel de 2012-2014 qui impliquait des énigmes cryptographiques élaborées et utilisait le même logo pour la promotion sur les forums de cybercriminalité. Cependant, il est peu probable qu’il y ait un lien entre les deux.
Le RaaS Cicada 3301 a commencé à promouvoir l’opération et à recruter des affiliés le 29 juin 2024, dans un message de forum sur le forum sur les ransomwares et la cybercriminalité connu sous le nom de RAMP.
Cependant, Breachtrace est au courant des attaques de Cigales dès le 6 juin, indiquant que le gang fonctionnait de manière indépendante début juin.
Comme d’autres opérations de ransomware, Cicada 3301 mène des tactiques de double extorsion où ils violent les réseaux d’entreprise, volent des données, puis chiffrent les appareils. La clé de cryptage et les menaces de fuite de données volées sont ensuite utilisées comme levier pour inciter les victimes à payer une rançon.
Les acteurs de la menace exploitent un site de fuite de données qui est utilisé dans le cadre de leur stratagème de double extorsion.
Une analyse du nouveau logiciel malveillant par Truesec a révélé des chevauchements importants entre Cicada 3301 et ALPHA / BlackCat, indiquant un possible changement de marque ou une fourchette créée par d’anciens membres de l’équipe principale d’ALPHV.
Ceci est basé sur le fait que:
- Les deux sont écrits en Rust.
- Les deux utilisent l’algorithme ChaCha20 pour le cryptage.
- Les deux utilisent des commandes identiques d’arrêt de la machine virtuelle et d’effacement des instantanés.
- Les deux utilisent les mêmes paramètres de commande d’interface utilisateur, la même convention de dénomination de fichier et la même méthode de déchiffrement de la demande de rançon.
- Les deux utilisent un cryptage intermittent sur des fichiers plus volumineux.
Pour le contexte, ALPHV a effectué une arnaque de sortie début mars 2024 impliquant de fausses allégations concernant une opération de retrait du FBI après avoir volé un énorme paiement de 22 millions de dollars de Change Healthcare à l’un de leurs affiliés.
Truesec a également trouvé des indications selon lesquelles l’opération de ransomware Cicada3301 pourrait s’associer ou utiliser le botnet Brutus pour un accès initial aux réseaux d’entreprise. Ce botnet était auparavant associé à des activités de forçage brutal VPN à l’échelle mondiale ciblant les appliances Cisco, Fortinet, Palo Alto et SonicWall.
Il convient de noter que l’activité de Brutus a été repérée pour la première fois deux semaines après l’arrêt des opérations d’ALPHV, de sorte que le lien entre les deux groupes est toujours valable en termes de délais.
Encore une autre menace pour VMware ESXi
Cicada3301 est une opération de ransomware basée sur Rust avec des chiffrements Windows et Linux/VMware ESXi. Dans le cadre du rapport de Truesec, les chercheurs ont analysé le chiffreur VMware ESXi Linux pour l’opération de ransomware.
Comme BlackCat et d’autres familles de ransomwares, telles que RansomHub, une clé spéciale doit être entrée comme argument de ligne de commande pour lancer le chiffreur. Cette clé est utilisée pour déchiffrer un objet blob JSON chiffré qui contient la configuration que le chiffreur utilisera lors du chiffrement d’un périphérique.
Truesec indique que le chiffreur vérifie la validité de la clé en l’utilisant pour déchiffrer la demande de rançon et, en cas de succès, poursuit le reste de l’opération de chiffrement.
Sa fonction principale (linux_enc) utilise le chiffrement de flux ChaCha20 pour le chiffrement des fichiers, puis chiffre la clé symétrique utilisée dans le processus avec une clé RSA. Les clés de chiffrement sont générées aléatoirement à l’aide de la fonction’ OsRng’.
Cicada3301 cible des extensions de fichiers spécifiques correspondant à des documents et des fichiers multimédias et vérifie leur taille pour déterminer où appliquer un cryptage intermittent (>100 Mo) et où crypter l’intégralité du contenu du fichier (<100 Mo).
Lors du chiffrement des fichiers, le chiffreur ajoutera une extension aléatoire de sept caractères au nom du fichier et créera des notes de rançon nommées « RÉCUPÉRER-[extension]-DONNÉES ».txt, ‘ comme indiqué ci-dessous. Il convient de noter que les chiffreurs BlackCat/ALPHV utilisaient également des extensions aléatoires à sept caractères et une note de rançon nommée « RÉCUPÉRER-[extension] – FICHIERS ».SMS.’
Les opérateurs de ransomware peuvent définir un paramètre de veille pour retarder l’exécution des chiffreurs, potentiellement pour échapper à une détection immédiate.
Un paramètre « no_vm_ss » ordonne également au logiciel malveillant de chiffrer les machines virtuelles VMware ESXi sans tenter de les arrêter au préalable.
Cependant, par défaut, Cicada3301 utilise d’abord les commandes Esxi ‘esxcli’ et ‘vim-cmd’ pour arrêter les machines virtuelles et supprimer leurs instantanés avant de chiffrer les données.
esxcli –formatter=csv –format-param=fields==\”WorldID,DisplayName\” vm process list | grep -viE \”,(),\” | awk -F \”\\\”*,\\\”*\” \'{system(\”esxcli vm process kill –type=force –world-id=\”$1)}\’ > /dev/null 2>&1;
for i in `vim-cmd vmsvc/getallvms| awk \'{print$1}\’`;do vim-cmd vmsvc/snapshot.removeall $i & done > /dev/null 2>&1
Les activités et le taux de réussite de Cicada3301 indiquent un acteur expérimenté qui sait ce qu’il fait, soutenant davantage l’hypothèse d’un redémarrage d’ALPHV ou au moins utilisant des affiliés ayant une expérience préalable des ransomwares.
Le nouveau focus ransomware sur les environnements ESXi met en évidence sa conception stratégique pour maximiser les dommages dans les environnements d’entreprise que de nombreux acteurs de la menace ciblent désormais pour des profits lucratifs.
En combinant le cryptage des fichiers avec la possibilité de perturber les opérations des machines virtuelles et de supprimer les options de récupération, Cicada3301 garantit une attaque à fort impact qui affecte des réseaux et des infrastructures entiers, maximisant la pression exercée sur les victimes.