Một RaaS (ransomware-as-a-service) mới xuất hiện với tên Cicada3301 vừa qua đã nhắm mục tiêu vào hàng chục công ty. Theo thống kê được ghi nhận từ các trang dark web, hiện đã có 23 công ty được ghi nhận là nạn nhân của nhóm này.
Lấy ý tưởng từ trò chơi trực tuyến thế giới thực liên quan đến các câu đố mật mã trong giai đoạn 2012-2014, Cicada3301 đã công khai quảng bá về sự hoạt động của bản thân từ đầu tháng 6 năm 2024, đồng thời tích cực tuyển dụng các nhánh con phục vụ cho các hoạt động tấn công của nhóm trên diễn đàn tội phạm mạng RAMP. Trong bài phân tích gần đây của TrueSec cho biết, hai phiên bản ransomware nhắm tới các máy chủ ESXi Windows và Linux mà nhóm sử dụng đều được viết bằng ngôn ngữ lập trình Rust. Phân tích cũng chỉ ra sự tương đồng giữa Cicada3301 với một nhóm RaaS khác tồn tại trong quá khứ là Black Cat/ALPHV. Một số đặc điểm bao gồm:
- Cả hai đều sử dụng ngôn ngữ lập trình Rust.
- Cả hai đều sử dụng thuật toán ChaCha20 cho việc mã hoá.
- Cả hai đều sử dụng các lệnh tắt nguồn máy ảo và xoá bỏ các snapshot gần như giống hệt nhau.
- Cả hai đều sử dụng -ui command parameter để cung cấp đầu ra graphic cho việc mã hoá.
- Cả hai đều sử dụng chung quy ước cho việc đặt tên file. Tuy niên có một chút sự thay đổi khi RECOVER-"ransomware extension"-FILES.txt được đổi thành RECOVER-"ransomware extension"-DATA.txt.
- Cả hai sử dụng chung phương pháp giải mã cho ghi chú tiền chuộc.
Cicada3301 bắt đầu cuộc tấn công bằng cách sử dụng các thông tin credential bị đánh cắp hoặc sử dụng phương pháp brute-force để đăng nhập qua ScreenConnect. Địa chỉ IP được nhóm sử dụng có liên kết với Brutus botnet, được sử dụng trong các chiến dịch brute-force dò đoán mật khẩu từ các giải pháp VPN khác nhau. Mặt khác, ransomware này hỗ trợ nhiều tham số có thể cấu hình, cho phép kẻ tấn công thay đổi hành vi của ransomware trong quá trình thực thi thông qua thư viện quản lý, bao gồm các tuỳ chọn như: clap::args
sleep
: Trì hoãn quá trình thực thi ransomware trong khoảng thời gian nhất định.ui
: Hiển thị thời gian thực và số liệu thống kê quá trình mã hoá. (VD: số lượng tệp tin được mã hoá)no_vm_ss
: Mã hoá các tệp trên máy chủ ESXi mà không cần tắt các máy ảo đang chạy, sử dụng terminalesxicli
đính kèm và xoá snapshot.
Thông điệp của ransomware được lưu trữ trong thư mục của tệp tin mã hoá và được đặt tên theo dạng RECOVER-"ending of encrypted file"-DATA.txt. Tiến trình encrypt_file
của Cicada3301 được tạo thông qua trình tạo số ngẫu nhiên OsRng, liên quan tới việc trích xuất khoá công khai PGP được lưu trữ trong vùng dữ liệu của tệp nhị phân và mã hoá khoá đối xứng được tạo ra ở trên. Các phân tích chuyên sâu chỉ ra rằng, mục tiêu mã hoá là các tệp tin liên quan đến tài liệu và hình ảnh, phỏng đoán rằng mục tiêu ban đầu khi tạo ra ransomware này là các hệ thống Windows trước khi nó được phát triển để nhắm tới các máy chủ ESXi.
Hoạt động mạnh mẽ cùng với tỉ lệ thành công cao của Cicada3301 cho thấy đây là một tác nhân có nhiều kinh nghiệm. Bằng cách kết hợp mã hoá tệp, khả năng gây gián đoạn hoạt động các máy ảo và loại bỏ các tuỳ chọn khôi phục, các cuộc tấn công của ransomware này đảm bảo gây thiệt hại lên toàn bộ mạng và cơ sở hạ tầng của nạn nhân, góp phần nâng cao sự phức tạp, cũng như gia tăng những khó khăn chung trong việc phòng chống các cuộc tấn công từ tin tặc trên không gian mạng.
Tham khảo
- TrueSec blog: https://www.truesec.com/hub/blog/dissecting-the-cicada#_ftn2
- Security Affairs: https://securityaffairs.com/167897/cyber-crime/a-new-variant-of-cicada-ransomware-targets-vmware-esxi-systems.html
- Bleeping Computer: https://www.bleepingcomputer.com/news/security/linux-version-of-new-cicada-ransomware-targets-vmware-esxi-servers/