Windows и Linux уязвимы к странно знакомой программе-вымогателю Cicada3301

Относительно новая часть программы-вымогателя под названием Cicada3301 была подробно проанализирована исследователями в области кибербезопасности, и полученные результаты обнаруживают удивительные отголоски печально известных атак из недавнего прошлого. Cicada3301 способна поражать системы на базе Linux и Windows.

Эта новая вредоносная программа имеет сходство с BlackCat, программой-вымогателем, использовавшейся в 2021 году при атаке на Колониальный трубопровод. Уникальность заключается в том, что Cicada3301 использует двойной подход, чтобы заставить жертву заплатить; файлы не только шифруются, но и упаковываются и утекают, если оплата не будет произведена.

Впервые Cicada3301 была замечена в июне 2024 года, когда на специальном сайте, созданном ее создателями, появилась первая утечка данных жертвы. Позднее они отправились на российский темный веб-форум под названием RAMP с целью привлечения партнеров. Они предложили Cicada3301 в качестве услуги, предлагая атаковать выбранные цели за определенную плату. Эта модель, называемая ransomware-as-a-service, в последние годы приобрела популярность среди злоумышленников.

Жертвы обнаружат, что их системы в значительной степени невосприимчивы к традиционным мерам, используемым для борьбы с атаки вымогателей благодаря продуманному сочетанию тактик, встроенных в Cicada3301. Вместо этого их встретит одинокий текстовый файл, предлагающий инструкции по спасению файлов от утечки. Согласно этому текстовому файлу, группа, стоящая за этой атакой, предлагает усилить защиту жертв, чтобы предотвратить подобные атаки в будущем, а также постоянную поддержку, если жертва решит заплатить.

Веб-сайт и ресурсы, использовавшиеся группой, стоявшей за атакой 2021 года, были в конечном итоге конфискованы властями США. Предполагается, что группа прекратила свою деятельность, но сходство Cicada3301 с BlackCat и ее ребрендингом ALHPV многочисленно.

Cicada3301 написана на языке программирования Rust, что делает ее универсальной, эффективной и расширяемой, но это можно списать на то, что она просто следует тенденции, заложенной BlackCat; до этой атаки программы-вымогатели, написанные на Rust, были крайне редкими и чаще всего представляли собой лишь пробный вариант, демонстрируемый белыми хакерами в сети.

Помимо использования того же языка программирования и общей структуры атаки, Cicada3301 использует схожие методы дешифровки, а многие команды, записанные в новой вредоносной программе, полностью совпадают с вызовами функций, встречающимися в BlackCat. В обеих атаках легитимные учетные данные пользователя получают любыми доступными способами, часто с помощью социальной инженерии, и используют их для получения доступа к целевой системе.

После этого обе атаки используют практически идентичные вызовы для выполнения таких действий, как звонок домой, шифрование и расшифровка файлов, вывод сообщений и многое другое. Однако у Cicada3301 есть несколько новых трюков. Главной из них является способность запрещать внешним машинам, включая виртуальные, доступ к зашифрованным файлам и системам.

По состоянию на сентябрь 2024 г. все ресурсы, связанные с Cicada3301, судя по всему, продолжают работать, и не было никаких сообщений об отставке или задержании связанных с ним злоумышленников. Возможно, что новая программа-вымогатель является творением одного или нескольких членов команды, участвовавшей в атаках BlackCat, или конкурирующей группы, скопировавшей большую часть кода BlackCat до того, как она ушла в тень.