Neue Cicada3301-Ransomware zielt auf Windows- und Linux-Systeme
Cybersicherheitsforscher haben die Funktionsweise einer neuen Ransomware namens Cicada3301 untersucht, die Ähnlichkeiten mit der inzwischen eingestellten BlackCat-Operation (auch bekannt als ALPHV) aufweist. Die Rust-Software greift sowohl Windows- als auch Unix-Systeme an.
Laut einem Bericht des Cybersicherheitsunternehmens Morphisec hat es Cicada3301 hauptsächlich auf kleine und mittelständische Unternehmen abgesehen. Die Angriffe erfolgen wahrscheinlich opportunistisch durch Ausnutzung von Schwachstellen, um sich Zugang zu den Systemen zu verschaffen.
Die Ransomware, die in der Programmiersprache Rust geschrieben ist, kann sowohl Windows- als auch Linux/ESXi-Systeme angreifen. Die Gruppe tauchte erstmals im Juni 2024 auf, als sie über ein Inserat im Untergrundforum RAMP neue Partner für ihr Ransomware-as-a-Service (RaaS)-Modell anwarb.
Besonders auffällig ist, dass Cicada3301 die Anmeldedaten des kompromittierten Benutzers direkt in die ausführbare Datei einbettet. Diese Daten werden dann verwendet, um das legitime Tool PsExec auszuführen, mit dem Programme aus der Ferne gestartet werden können.
Cicada3301 zeigt viele Gemeinsamkeiten mit BlackCat, einschließlich der Verwendung des ChaCha20-Verschlüsselungsalgorithmus und der Tools fsutil und IISReset.exe. Diese Werkzeuge werden eingesetzt, um Dateien zu verschlüsseln, symbolische Links zu prüfen und gesperrte Dateien zu entsperren.
Ähnlich wie bei BlackCat umfasst Cicada3301 Maßnahmen wie das Löschen von Schattenkopien, das Deaktivieren der Systemwiederherstellung durch Manipulation des bcdedit-Tools, das Erhöhen des MaxMpxCt-Werts zur Unterstützung größerer Datenmengen (zum Beispiel SMB PsExec-Anfragen) und das Löschen aller Ereignisprotokolle mit dem wevtutil-Tool. Die Ransomware stoppt auch lokale virtuelle Maschinen – ein Verhalten, das zuvor von der Megazord-Ransomware und der Yanluowang-Ransomware übernommen wurde – und beendet Backup- und Wiederherstellungsdienste sowie zahlreiche Prozesse.
Neben einer eingebauten Liste von ausgeschlossenen Dateien und Verzeichnissen während des Verschlüsselungsprozesses zielt die Ransomware auf insgesamt 35 Dateierweiterungen – sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm, und txt.
Morphisec entdeckte auch weitere Tools wie EDRSandBlast, die einen anfälligen signierten Treiber nutzen, um Sicherheitsprogramme zu umgehen, eine Taktik, die zuvor von der BlackByte-Ransomware verwendet wurde.
Das Unternehmen Truesec vermutet, dass es einen Zusammenhang zwischen dem Ende von BlackCat und dem Auftauchen des Brutus-Botnetzes sowie der Cicada3301-Ransomware geben könnte. Dabei ist unklar, ob Cicada3301 eine Neuauflage von ALPHV ist, ob die Ransomware vom gleichen Entwickler stammt oder ob sie nur Teile von ALPHV kopiert haben, um eine eigene Version zu erstellen. Die zeitliche Abfolge deutet für Truesecjedoch auf eine mögliche Verbindung hin.
Die Angriffe auf VMware ESXi-Systeme umfassen auch eine „intermittierende Verschlüsselung“, bei der nur Dateien über einer bestimmten Größe (100 MB) verschlüsselt werden, ohne dass die laufenden virtuellen Maschinen gestoppt werden.
Das Auftauchen von Cicada3301 hat auch eine gleichnamige „unpolitische Bewegung“, die sich mit „mysteriösen“ kryptografischen Rätseln beschäftigt, dazu veranlasst, eine Erklärung abzugeben, dass sie keine Verbindung zu der Ransomware hat.