Cảnh báo ransomware mới dựa trên ngôn ngữ lập trình Rust nhắm vào các hệ thống Windows và Linux

Các nhà nghiên cứu an ninh mạng đã phát hiện một biến thể ransomware mới có tên gọi Cicada3301, có nhiều điểm tương đồng với chiến dịch BlackCat (hay còn gọi là ALPHV) hiện đã không còn hoạt động.

Ransomware Cicada3301 chủ yếu nhắm vào các doanh nghiệp vừa và nhỏ (SMB) và thường sử dụng các cuộc tấn công khai thác lỗ hổng bảo mật làm phương thức truy cập ban đầu.

Được phát triển bằng ngôn ngữ Rust, Cicada3301 có khả năng tấn công cả máy chủ Windows và Linux/ESXi. Nó lần đầu xuất hiện vào tháng 6 năm 2024, khi kêu gọi các hacker tiềm năng tham gia nền tảng ransomware-as-a-service (RaaS) của họ thông qua một quảng cáo trên diễn đàn ngầm RAMP.

Một điểm đáng chú ý của ransomware này là tệp thực thi đã nhúng thông tin đăng nhập của người dùng bị xâm phạm, thông tin này sau đó được sử dụng để chạy PsExec, một công cụ cho phép thực thi chương trình từ xa.

Sự tương đồng giữa Cicada3301 và BlackCat tiếp tục với việc sử dụng ChaCha20 để mã hóa, fsutil để điều tra các liên kết tượng trưng và mã hóa các tệp bị chuyển hướng, cũng như IISReset.exe để dừng các dịch vụ IIS và mã hóa những tệp có thể bị khóa để sửa đổi hoặc xóa.

Các điểm trùng lặp khác với BlackCat bao gồm các bước thực hiện để xóa bản sao ẩn, vô hiệu hóa chức năng phục hồi hệ thống thông qua việc thao tác tiện ích bcdedit, tăng giá trị MaxMpxCt nhằm hỗ trợ lưu lượng truy cập lớn hơn (như yêu cầu SMB PsExec), và xóa tất cả nhật ký sự kiện bằng cách sử dụng tiện ích wevtutil.

Cicada3301 cũng đã được quan sát dừng các máy ảo (VM) được triển khai cục bộ, một hành vi từng được ransomware Megazord và Yanluowang áp dụng, cũng như chấm dứt nhiều dịch vụ sao lưu và phục hồi cũng như danh mục các quy trình bị mã hóa cứng.

Ngoài việc duy trì danh sách các tệp và thư mục bị loại khỏi quá trình mã hóa, ransomware này còn nhắm đến tổng cộng 35 phần mở rộng tệp, bao gồm: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm và txt.

Các cuộc tấn công vào hệ thống VMware ESXi cũng bao gồm việc sử dụng mã hóa không liên tục để mã hóa các tệp lớn hơn ngưỡng đã đặt (100 MB) và một tham số có tên “no_vm_ss” để mã hóa các tệp mà không cần tắt máy ảo đang chạy trên máy chủ.