Hizmet Olarak Yeni Bir Fidye Yazılımı (RAAS) operasyonu, meşru Cicada 3301 organizasyonunu taklit ediyor ve dünya çapındaki şirketlere hızlı bir şekilde saldırdığı için gasp portalında 19 kurbanı listeledi.
Yeni siber suç operasyonu adını almıştır ve ayrıntılı kriptografik bulmacalar içeren Cicada 3301 adlı gizemli 2012-2014 çevrimiçi/gerçek dünya oyunuyla aynı logoyu kullanır.
Bununla birlikte, ikisi arasında bir bağlantı yoktur ve meşru proje, tehdit aktörleriyle herhangi bir ilişkiyi bırakmak ve fidye yazılımı operasyonunun eylemlerini kınamak için bir açıklama yaptı.
Cicada 3301 organizasyonundan yaptığı açıklamada, "Bu iğrenç suçların arkasındaki suçluların kimliğini bilmiyoruz ve bu gruplarla hiçbir şekilde ilişkili değiliz."
CICADA3301 RAAS ilk olarak 29 Haziran 2024'te ramp olarak bilinen fidye yazılımı ve siber suç forumuna bir forum yayınında operasyon ve işe alım iştiraklerini tanıtmaya başladı.
Bununla birlikte, BleepingComputer, 6 Haziran gibi erken saatlerde ağustosböceği saldırılarının farkındadır, bu da çetenin iştirakleri işe almaya çalışmadan önce bağımsız olarak çalıştığını gösterir.
Diğer fidye yazılımı işlemleri gibi, CICADA3301 de kurumsal ağları ihlal ettikleri, verileri çaldıkları ve daha sonra şifreleme cihazlarını çifte uzatma taktikleri düzenler. Şifreleme anahtarı ve çalıntı verileri sızdırmaya yönelik tehditler, kurbanları fidye ödemeye korkutmak için kaldıraç olarak kullanılır.
Tehdit aktörleri, çift vergi şemasının bir parçası olarak kullanılan bir veri sızıntısı sitesi işletir.
Truesec tarafından yeni kötü amaçlı yazılımların analizi, CIADADA3301 ve ALPHV/Blackcat arasında önemli bir örtüşmeler ortaya koydu, bu da eski ALPHV'nin çekirdek ekip üyeleri tarafından oluşturulan olası bir yeniden marka veya çatal gösterdi.
Bu, şu gerçeğine dayanmaktadır:
Bağlam için ALPHV, Mart 2024'ün başlarında, bağlı kuruluşlarından birinden değişim sağlık hizmetlerinden 22 milyon dolarlık büyük bir ödeme çaldıktan sonra bir FBI yayından kaldırma operasyonu hakkında sahte iddiaları içeren bir çıkış aldatmacası gerçekleştirdi.
Truesec ayrıca CIADADA3301 fidye yazılımı işleminin kurumsal ağlara ilk erişim için Brutus Botnet ile ortaklık yapabileceği veya kullanabileceği belirtileri bulmuştur. Bu botnet daha önce Cisco, Fortinet, Palo Alto ve Sonicwall cihazlarını hedefleyen küresel ölçekli VPN kaba zorlama faaliyetleriyle ilişkilendirilmişti.
Brutus etkinliğinin ilk olarak ALPHV işlemlerini kapattıktan iki hafta sonra tespit edildiğini belirtmek gerekir, bu nedenle iki grup arasındaki bağlantı hala zaman çizelgeleri açısından duruyor.
CICADA3301, hem Windows hem de Linux/VMware ESXI şifrelemeleri ile pas tabanlı bir fidye yazılımı işlemidir. Truesec'in raporunun bir parçası olarak, araştırmacılar fidye yazılımı işlemi için VMware ESXI Linux şifrelemesini analiz ettiler.
Blackcat ve RansomHub gibi diğer fidye yazılımı aileleri gibi, enstryneyi başlatmak için bir komut satırı argümanı olarak özel bir anahtar girilmelidir. Bu anahtar, şifrelemenin bir cihazı şifrelerken kullanacağı yapılandırmayı içeren şifreli bir JSON blobunu şifrelemek için kullanılır.
Truesec, şifreleyicinin fidye notunun şifresini çözmek için anahtarın geçerliliğini kontrol ettiğini ve başarılı olursa şifreleme işleminin geri kalanıyla devam ettiğini söylüyor.
Ana işlevi (linux_enc), dosya şifrelemesi için chacha20 akış şifresini kullanır ve daha sonra işlemde kullanılan simetrik anahtarı bir RSA tuşu ile şifreler. Şifreleme anahtarları 'OSRNG' işlevi kullanılarak rastgele oluşturulur.
CICADA3301, belgeleri ve medya dosyalarını eşleştiren belirli dosya uzantılarını hedefler ve aralıklı şifrelemeyi (> 100MB) nerede uygulanacağını belirlemek için boyutlarını kontrol eder ve tüm dosya içeriğini (nerede şifreleyeceğini (
Dosyaları şifrelerken, şifreleme dosya adına rastgele yedi karakterlik bir uzantı ekleyecek ve aşağıda gösterildiği gibi 'Recover- [extension] -data.txt' adlı fidye notları oluşturacaktır. Blackcat/alphv şifrelemelerinin de rastgele yedi karakterli uzantılar ve 'recover- [extension] -files.txt' adlı bir fidye notu kullandıkları belirtilmelidir.
Fidye yazılımı operatörleri, şifrelemenin yürütülmesini geciktirmek için bir uyku parametresi ayarlayabilir ve potansiyel olarak anında tespitten kaçınır.
Bir "no_vm_ss" parametresi ayrıca kötü amaçlı yazılımların VMware ESXI sanal makinelerini önce kapatmaya çalışmadan şifrelemesini emreder.
Bununla birlikte, varsayılan olarak, CICADA3301, verileri şifrelemeden önce sanal makineleri kapatmak ve anlık görüntülerini silmek için ESXI'nın 'ESXCLI' ve 'Vim-CMD' komutlarını kullanır.
CICADA3301'in faaliyetleri ve başarı oranı, ne yaptıklarını bilen, bir ALPHV yeniden başlatma hipotezini daha da destekleyen veya en azından önceki fidye yazılımı deneyimi olan iştirakleri kullanan deneyimli bir aktör olduğunu gösterir.
Yeni fidye yazılımlarının ESXI ortamlarına odaklanması, birçok tehdit aktörünün şu anda kazançlı karlar için hedeflediği kurumsal ortamlarda hasarı en üst düzeye çıkarmak için stratejik tasarımını vurgulamaktadır.
Dosya şifrelemesini VM işlemlerini bozma ve kurtarma seçeneklerini kaldırma yeteneği ile birleştirerek CIADADA3301, tüm ağları ve altyapıları etkileyen yüksek etkili bir saldırı sağlar ve kurbanlara verilen baskıyı en üst düzeye çıkarır.
Yeni Eldorado Fidye Yazılımı Windows, VMware ESXI VMS hedefleri
OneBlood'un fidye yazılımı saldırısında şifrelenmiş sanal makineleri
CISA, fidye yazılımı saldırılarında sömürülen VMware ESXI hatası konusunda uyarıyor
Microsoft: Fidye Yazılımı Çeteleri Saldırılarda VMware ESXI AUTPY BYPASS
Yeni oynatma fidye yazılımı linux sürümü hedefleri vmware esxi vms
Kaynak: Bleeping Computer