Windows en Linux kwetsbaar voor vreemde Cicada3301 ransomware

Een relatief nieuw stuk ransomware, genaamd Cicada3301, is in detail geanalyseerd door cyberbeveiligingsonderzoekers, en de bevindingen onthullen verrassende overeenkomsten met beruchte aanvallen uit het recente verleden. Cicada3301 is in staat om Linux-gebaseerde en Windows-systemen aan te vallen.

Deze nieuwe malware lijkt op BlackCat, de ransomware die werd gebruikt bij de aanval van 2021 op de Colonial Pipeline. De unieke factor is dat Cicada3301 een tweeledige aanpak gebruikt om slachtoffers te laten betalen; niet alleen worden bestanden versleuteld, ze worden ook ingepakt en uitgelekt als er niet wordt betaald.

Cicada3301 werd voor het eerst ontdekt in juni 2024, toen het eerste lek van gegevens van een slachtoffer opdook op de speciale site die de makers hadden opgezet. Later gingen ze naar een Russisch dark web forum genaamd RAMP om partners te werven. Ze boden Cicada3301 aan als een dienst, waarbij ze aanboden om tegen betaling geselecteerde doelwitten aan te vallen. Dit model, ransomware-as-a-service genoemd, heeft de afgelopen jaren aan populariteit gewonnen onder slechte actoren.

Slachtoffers zullen merken dat hun systemen grotendeels immuun zijn voor traditionele pogingen om ransomware-aanvallen dankzij een slimme mix van tactieken die in Cicada3301 zijn ingebouwd. In plaats daarvan worden ze begroet door een eenzaam tekstbestand met instructies om te voorkomen dat hun bestanden uitlekken. Volgens het tekstbestand biedt de groep achter deze aanval aan om de beveiliging van slachtoffers aan te scherpen om soortgelijke aanvallen in de toekomst te voorkomen, en om doorlopende ondersteuning te bieden, mocht een slachtoffer ervoor kiezen om te betalen.

De website en bronnen die door de groep achter de aanval van 2021 werden gebruikt, werden uiteindelijk in beslag genomen door de Amerikaanse autoriteiten. Er wordt aangenomen dat de groep zijn activiteiten heeft gestaakt, maar de overeenkomsten tussen Cicada3301 en BlackCat en zijn rebranding, ALHPV, zijn talrijk.

Cicada3301 is geschreven in de programmeertaal Rust, waardoor het veelzijdig, efficiënt en uitbreidbaar is, maar dit kan worden afgedaan als het volgen van de trend die door BlackCat is gezet; tot aan die aanval was ransomware geschreven in Rust zeer ongebruikelijk, en was het meestal slechts een proof-of-concept dat werd getoond door white hat hackers op het web.

Naast het gebruik van dezelfde programmeertaal en algemene aanvalsstructuur, gebruikt Cicada3301 vergelijkbare decoderingsmethoden, en veel commando's die in de nieuwe malware zijn geschreven zijn exact hetzelfde als de functie-aanroepen die in BlackCat zijn gevonden. In beide aanvallen worden legitieme gebruikersgegevens verkregen via alle beschikbare middelen, vaak social engineering, en gebruikt om toegang te krijgen tot het doelsysteem.

Daarna gebruiken beide aanvallen bijna identieke oproepen om dingen te doen als naar huis bellen, bestanden versleutelen en ontsleutelen, berichten weergeven en nog veel meer. Cicada3301 heeft echter een aantal nieuwe trucs. De belangrijkste daarvan is de mogelijkheid om externe machines, inclusief virtuele machines, de toegang tot versleutelde bestanden en systemen te ontzeggen.

Vanaf september 2024 lijken alle bronnen die aan Cicada3301 zijn gekoppeld nog steeds actief te zijn, en er zijn nog geen meldingen van slechte actoren die ermee te maken hebben. Het is mogelijk dat de nieuwe ransomware een creatie is van een of meer teamleden van de BlackCat-aanvallen, of van een rivaliserende groep die veel van de code van BlackCat heeft gekopieerd voordat deze op zwart ging.