Cybersecurity-onderzoekers hebben aanvullende inzichten verzameld in een opkomende ransomware-as-a-service (RaaS), genaamd Cicade3301 nadat hij met succes toegang had gekregen tot het aangesloten paneel van de groep op het dark web.
Het in Singapore gevestigde Group-IB zei dat het contact had opgenomen met de dreigingsactor achter de Cicada3301-persona op het RAMP-cybercriminaliteitsforum via de Tox-berichtenservice nadat deze een advertentie had geplaatst waarin werd opgeroepen tot nieuwe partners voor zijn partnerprogramma.
“Binnen het dashboard van het Affiliates-panel van de Cicada3301-ransomwaregroep bevonden zich secties zoals Dashboard, Nieuws, Bedrijven, Chatbedrijven, Chatondersteuning, Account, een sectie met veelgestelde vragen en Uitloggen”, zeiden onderzoekers Nikolay Kichatov en Sharmine Low in een nieuw artikel. analyse vandaag gepubliceerd.
Cicada3301 kwam voor het eerst aan het licht in juni 2024, toen de cyberbeveiligingsgemeenschap sterke overeenkomsten in de broncode ontdekte met de inmiddels ter ziele gegane BlackCat-ransomwaregroep. Er wordt geschat dat het RaaS-plan niet minder dan 30 organisaties in kritieke sectoren in gevaar heeft gebracht, waarvan de meeste zich in de VS en het VK bevinden.
De op Rust gebaseerde ransomware is platformonafhankelijk, waardoor partners zich kunnen richten op apparaten met Windows, Linux-distributies Ubuntu, Debian, CentOS, Rocky Linux, Scientific Linux, SUSE, Fedora, ESXi, NAS, PowerPC, PowerPC64 en PowerPC64LE.
Net als andere soorten ransomware kunnen aanvallen waarbij Cicada3301 betrokken is, bestanden geheel of gedeeltelijk versleutelen, maar niet voordat virtuele machines zijn uitgeschakeld, systeemherstel wordt belemmerd, processen en services worden beëindigd en schaduwkopieën worden verwijderd. Het is ook in staat netwerkshares te versleutelen voor maximale impact.
“Cicada3301 beheert een partnerprogramma dat penetratietesters (pentesters) en toegangsmakelaars rekruteert, een commissie van 20% biedt en een webgebaseerd panel biedt met uitgebreide functies voor aangesloten bedrijven”, merkten de onderzoekers op.
Een samenvatting van de verschillende secties is als volgt:
- Dashboard – Een overzicht van de succesvolle of mislukte logins van de affiliate en het aantal aangevallen bedrijven
- Nieuws – Informatie over productupdates en nieuws over het Cicada3301-ransomwareprogramma
- Bedrijven – Biedt opties om slachtoffers toe te voegen (dwz bedrijfsnaam, gevraagd losgeldbedrag, vervaldatum van de korting enz.) en Cicada3301 ransomware-builds te maken
- Chatbedrijven – Een interface om met slachtoffers te communiceren en te onderhandelen
- Chat-ondersteuning – Een interface waarmee de aangesloten bedrijven kunnen communiceren met vertegenwoordigers van de Cicada3301-ransomwaregroep om problemen op te lossen
- Rekening – Een sectie gewijd aan het beheer van affiliate-accounts en het opnieuw instellen van hun wachtwoord
- Veelgestelde vragen – Biedt details over regels en handleidingen voor het maken van slachtoffers in de sectie ‘Bedrijven’, het configureren van de builder en stappen om de ransomware op verschillende besturingssystemen uit te voeren
“De Cicada3301-ransomwaregroep heeft zich snel gevestigd als een belangrijke bedreiging in het ransomware-landschap, dankzij zijn geavanceerde operaties en geavanceerde tools”, aldus de onderzoekers.
“Door gebruik te maken van ChaCha20 + RSA-encryptie en het aanbieden van een aanpasbaar affiliate-paneel, stelt Cicada3301 zijn affiliates in staat zeer gerichte aanvallen uit te voeren. Hun aanpak om gegevens te exfiltreren vóór encryptie voegt een extra druklaag toe op slachtoffers, terwijl de mogelijkheid om virtuele machines te stoppen de impact vergroot. van hun aanvallen.”
