Linux-versie van nieuwe Cicada-ransomware richt zich op VMware ESXi-servers

Een nieuwe ransomware-as-a-service (RaaS) operatie doet zich voor als de legitieme Cicada 3301 organisatie en heeft al 19 slachtoffers gemeld op zijn afpersingsportaal, omdat het snel wereldwijd bedrijven aanviel.

De nieuwe cybercrime operatie is vernoemd naar en gebruikt hetzelfde logo als het mysterieuze online/real-world spel genaamd Cicada 3301 uit 2012-2014 dat complexe cryptografische puzzels omvatte.

Echter, er is geen verband tussen de twee, en het legitieme project heeft een verklaring uitgegeven om elke associatie met de dreigingsacteurs te verwerpen en veroordeelde de acties van de ransomware operatie.

“Wij kennen niet de identiteit van de criminelen achter deze afschuwelijke misdaden en zijn op geen enkele manier geassocieerd met deze groepen,” luidt de verklaring van de Cicada 3301 organisatie.

Gelanceerd begin juni

De Cicada3301 RaaS begon voor het eerst de operatie te promoten en rekruteerde filialen op 29 juni 2024, in een forum post op het ransomware en cybercrime forum bekend als RAMP.

Echter, BleepingComputer is op de hoogte van Cicada aanvallen die al plaatsvonden op 6 juni, wat aangeeft dat de bende onafhankelijk opereerde voordat ze probeerden filialen te rekruteren.

Cicada3301 ransomware gepromoot op RAMP forums
Cicada3301 ransomware operator die filialen zoekt op RAMP forums
Bron: Truesec

Net als andere ransomware operaties, voert Cicada3301 dubbele afpersingstactieken uit waarbij zij bedrijfsnetwerken binnendringen, gegevens stelen en apparaten vervolgens versleutelen. De versleutelingssleutel en de dreiging om gestolen gegevens te lekken worden dan gebruikt als hefboom om slachtoffers bang te maken om losgeld te betalen.

De dreigingsacteurs hebben een dataleksite die wordt gebruikt als onderdeel van hun dubbele afpersingsschema.

Cicada3301 afpersingsportaal
Cicada3301 afpersingsportaal
Bron: BleepingComputer

Een analyse van de nieuwe malware door Truesec onthulde significante overeenkomsten tussen Cicada3301 en ALPHV/BlackCat, wat wijst op een mogelijke rebranding of een afsplitsing gecreëerd door voormalige kernteamleden van ALPHV.

Dit is gebaseerd op het feit dat:

  • Beide zijn geschreven in Rust.
  • Beide gebruiken het ChaCha20 algoritme voor versleuteling.
  • Beide gebruiken identieke VM shutdown en snapshot-wiping commando’s.
  • Beide gebruiken dezelfde gebruikersinterface command parameters, dezelfde bestandsnaamconventie en dezelfde methode om losgeldnotities te ontsleutelen.
  • Beide gebruiken intermitterende versleuteling op grotere bestanden.

Ter context, ALPHV voerde begin maart 2024 een exitscam uit met valse claims over een FBI-actie nadat ze een enorme betaling van $22 miljoen van Change Healthcare hadden gestolen van een van hun filialen.

Truesec heeft ook aanwijzingen gevonden dat de Cicada3301 ransomware operatie mogelijk samenwerkt met of gebruik maakt van het Brutus botnet voor initiële toegang tot bedrijfsnetwerken. Dat botnet werd eerder geassocieerd met VPN brute-force activiteiten op wereldschaal, gericht op Cisco, Fortinet, Palo Alto en SonicWall apparaten.

Het is vermeldenswaardig dat de Brutus activiteit voor het eerst werd opgemerkt twee weken nadat ALPHV de activiteiten stopte, dus de link tussen de twee groepen blijft qua tijdlijnen overeind.

Nog een bedreiging voor VMware ESXi

Cicada3301 is een op Rust gebaseerde ransomware operatie met zowel Windows als Linux/VMware ESXi encryptors. Als onderdeel van het rapport van Truesec, analyseerden de onderzoekers de VMWare ESXi Linux encryptor voor de ransomware operatie.

Net als BlackCat en andere ransomware families, zoals RansomHub, moet er een speciale sleutel worden ingevoerd als een commandoregel argument om de encryptor te starten. Deze sleutel wordt gebruikt om een versleutelde JSON blob te ontsleutelen die de configuratie bevat die de encryptor zal gebruiken bij het versleutelen van een apparaat.

Truesec zegt dat de encryptor de geldigheid van de sleutel controleert door deze te gebruiken om de losgeldnotitie te ontsleutelen en, als dit succesvol is, door te gaan met de rest van de versleutelingsoperatie.

Zijn hoofdfunctie (linux_enc) gebruikt de ChaCha20 stream cipher voor bestand versleuteling en versleutelt daarna de symmetrische sleutel die in het proces wordt gebruikt met een RSA sleutel. De versleutelingssleutels worden willekeurig gegenereerd met de ‘OsRng’ functie.

Cicada3301 richt zich op specifieke bestandsuitbreidingen die overeenkomen met documenten en mediabestanden en controleert hun grootte om te bepalen waar intermitterende versleuteling (>100MB) toepassen en waar de volledige bestandsinhoud te versleutelen (

Bij het versleutelen van bestanden voegt de encryptor een willekeurige zeven tekens lange extensie toe aan de bestandsnaam en maakt losgeldnotities genaamd ‘RECOVER-[extensie]-DATA.txt,’ zoals hieronder getoond. Het moet worden opgemerkt dat BlackCat/ALPHV encryptors ook willekeurige zeven tekens lange extensies gebruikten en een losgeldnotitie genaamd ‘RECOVER-[extensie]-FILES.txt.’

Cicada3301 losgeldnotitie
Cicada3301 losgeldnotitie
Bron: BleepingComputer

De operators van de ransomware kunnen een sleep parameter instellen om de uitvoering van de encryptor te vertragen, mogelijk om onmiddellijke detectie te ontwijken.

Een “no_vm_ss” parameter beveelt ook de malware om VMware ESXi virtuele machines te versleutelen zonder eerst te proberen ze uit te schakelen.

Echter, standaard gebruikt Cicada3301 eerst ESXi’s ‘esxcli’ en ‘vim-cmd’ commando’s om virtuele machines uit te schakelen en hun snapshots te verwijderen voordat gegevens worden versleuteld.


esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” vm process list | grep -viE ”,(),” | awk -F ”\”*,\”*” '{system(”esxcli vm process kill –type=force –world-id=”$1)}’ > /dev/null 2>&1;

for i in `vim-cmd vmsvc/getallvms| awk '{print$1}’`;do vim-cmd vmsvc/snapshot.removeall $i & done > /dev/null 2>&1

De activiteiten en het succespercentage van Cicada3301 duiden op een ervaren acteur die weet wat hij doet, wat verder het hypothese van een ALPHV herstart of op zijn minst het gebruik van affiliates met eerdere ransomware ervaring ondersteunt.

De nieuwe ransomware’s focus op ESXi omgevingen benadrukt zijn strategische ontwerp om maximale schade aan te richten in bedrijfsomgevingen, die veel dreigingsacteurs nu targeten voor lucratieve winsten.

Door bestand versleuteling te combineren met het vermogen om VM-operaties te verstoren en herstelopties te verwijderen, zorgt Cicada3301 voor een aanval met grote impact die hele netwerken en infrastructuren beïnvloedt en de druk op slachtoffers maximaliseert.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----