網路安全研究人員對一種名為 Cicada3301 的相對較新的勒索軟體進行了詳細分析,結果揭示了對最近臭名昭著的攻擊的驚人回調。 Cicada3301 能夠針對基於 Linux 和 Windows 的系統。
這種新惡意軟體與 2021 年殖民管道攻擊中使用的勒索軟體 BlackCat 類似。獨特之處在於,Cicada3301採用雙管齊下的方式讓受害者付出代價;文件不僅會被加密,而且如果不付款,它們也會被打包並洩露。
Cicada3301 首次被發現於 2024 年 6 月,當時受害者資料的首次洩漏出現在其創建者建立的專用網站上。他們後來造訪了一個名為 RAMP 的俄羅斯暗網論壇,目的是招募附屬機構。他們提供 Cicada3301 作為服務,以一定的價格攻擊選定的目標。這種稱為勒索軟體即服務的模式近年來在不良行為者中流行起來。
由於 Cicada3301 內建了巧妙的策略組合,受害者會發現他們的系統在很大程度上不受用於阻止勒索軟體攻擊的傳統方法的影響。相反,他們會看到一個單獨的文字文件,其中提供了防止文件洩露的說明。根據文字文件,攻擊背後的組織提出加強受害者的安全,以防止未來發生類似的攻擊,並在受害者選擇付款時提供持續的支持。
2021 年攻擊背後的組織所使用的網站和資源最終被美國當局查封。據信該組織已停止活動,但 Cicada3301 與 BlackCat 及其更名的 ALHPV 有許多相似之處。
Cicada3301 是用Rust 程式語言編寫的,使其具有通用性、高效性和可擴展性,但這可以被視為僅僅追隨BlackCat 建立的趨勢;在那次攻擊之前,用Rust 編寫的勒索軟體極為罕見,而且通常只是白帽駭客在網路上展示的概念驗證。
除了使用相同的程式語言和一般攻擊結構之外,Cicada3301還使用類似的解密方法,並且寫入新惡意軟體的許多命令與BlackCat中的函數呼叫完全相同。在這兩種攻擊中,合法的使用者憑證都是透過任何可用的手段(通常是社會工程)獲得的,並用於存取目標系統。
從這裡開始,兩種攻擊都使用幾乎相同的呼叫來執行諸如打電話、加密和解密檔案、顯示訊息等操作。然而,Cicada3301 確實帶來了一些新技巧。其中最主要的是阻止外部機器(包括虛擬機器)存取加密檔案和系統的能力。
截至 2024 年 9 月,與 Cicada3301 相關的所有資源似乎仍然有效,並且沒有任何與其相關的不良行為者下台或被捕的報告。新的勒索軟體有可能是 BlackCat 攻擊中的一名或多名團隊成員創建的,也可能是競爭對手組織在 BlackCat 黑屏之前複製了大部分程式碼。
以上是Windows 和 Linux 容易受到奇怪熟悉的 Cicada3301 勒索軟體的攻擊的詳細內容。更多資訊請關注PHP中文網其他相關文章!