Cybersecurityonderzoekers hebben de werking van een nieuwe ransomwarevariant met de naam Cicada3301 ontrafeld. Deze variant vertoont overeenkomsten met de inmiddels ter ziele gegane BlackCat-operatie (ook bekend als ALPHV).
“Het lijkt erop dat Cicada3301-ransomware zich vooral richt op kleine tot middelgrote bedrijven (MKB’s), waarschijnlijk via opportunistische aanvallen die kwetsbaarheden misbruiken als eerste toegangsvector”, aldus cybersecuritybedrijf Morphisec in een technisch rapport dat is gedeeld met The Hacker News.
Cicada3301 is geschreven in Rust en is gericht op zowel Windows- als Linux/ESXi-hosts. Het verscheen voor het eerst in juni 2024 en nodigde potentiële partners uit om zich aan te sluiten bij hun ransomware-as-a-service (RaaS)-platform via een advertentie op het ondergrondse RAMP-forum.
Een opvallend aspect van de ransomware is dat het uitvoerbare bestand de inloggegevens van de gecompromitteerde gebruiker integreert. Deze inloggegevens worden vervolgens gebruikt om PsExec uit te voeren, een legitieme tool waarmee programma’s op afstand kunnen worden uitgevoerd.
De overeenkomsten tussen Cicada3301 en BlackCat strekken zich ook uit tot het gebruik van ChaCha20 voor encryptie, fsutil voor het evalueren van symbolische links en het versleutelen van omgeleide bestanden, en IISReset.exe voor het stoppen van de IIS-services en het versleutelen van bestanden die anders geblokkeerd zouden worden voor wijziging of verwijdering.
Andere overlappingen met BlackCat zijn onder meer de stappen die worden ondernomen om schaduwkopieën te verwijderen, het uitschakelen van systeemherstel door het hulpprogramma bcdedit te manipuleren, het verhogen van de MaxMpxCt-waarde om hogere volumes aan verkeer te ondersteunen (bijv. SMB PsExec-aanvragen) en het wissen van alle gebeurtenislogboeken met behulp van het hulpprogramma wevtutil.
Cicada3301 heeft ook waargenomen dat lokaal geïmplementeerde virtuele machines (VM’s) worden gestopt, een gedrag dat eerder werd toegepast door de Megazord-ransomware en de Yanluowang-ransomware. Ook werden verschillende back-up- en herstelservices en een hardgecodeerde lijst met tientallen processen beëindigd.
Naast het bijhouden van een ingebouwde lijst met uitgesloten bestanden en mappen tijdens het encryptieproces, richt de ransomware zich op in totaal 35 bestandsextensies: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm en txt.
Volgens Morphisec zijn er bij het onderzoek ook aanvullende tools ontdekt, zoals EDRSandBlast, die een kwetsbare, ondertekende driver als wapen gebruiken om EDR-detecties te omzeilen. Deze techniek werd in het verleden ook door de BlackByte-ransomwaregroep gebruikt.
De bevindingen zijn gebaseerd op de analyse van Truesec van de ESXi-versie van Cicada3301. Ook zijn er aanwijzingen dat de groep mogelijk heeft samengewerkt met de beheerders van het Brutus-botnet om in eerste instantie toegang te krijgen tot bedrijfsnetwerken.
“Ongeacht of Cicada3301 een rebranding is van ALPHV, of dat ze een ransomware hebben geschreven door dezelfde ontwikkelaar als ALPHV, of dat ze gewoon delen van ALPHV hebben gekopieerd om hun eigen ransomware te maken, suggereert de tijdlijn dat de ondergang van BlackCat en de opkomst van eerst het Brutus-botnet en vervolgens de Cicada3301-ransomwareoperatie mogelijk allemaal met elkaar verbonden zijn”, aldus het bedrijf.
De aanvallen op VMware ESXi-systemen maken ook gebruik van intermitterende encryptie om bestanden te encrypteren die groter zijn dan een ingestelde drempelwaarde (100 MB) en een parameter met de naam “no_vm_ss” om bestanden te encrypteren zonder de virtuele machines die op de host draaien, uit te schakelen.
De opkomst van Cicada3301 heeft ook een gelijknamige “niet-politieke beweging” ertoe aangezet om, terwijl ze zich bezighoudt met “mysterieuze” cryptografische puzzels, een verklaring uit te geven waarin ze stelt dat ze niets te maken heeft met de ransomware-operatie.