网络安全研究人员对一种名为 Cicada3301 的相对较新的勒索软件进行了详细分析,结果揭示了对最近臭名昭著的攻击的惊人回调。 Cicada3301 能够针对基于 Linux 和 Windows 的系统。
这种新恶意软件与 2021 年殖民管道攻击中使用的勒索软件 BlackCat 类似。独特之处在于,Cicada3301采用双管齐下的方式让受害者付出代价;文件不仅会被加密,而且如果不付款,它们也会被打包并泄露。
Cicada3301 首次被发现于 2024 年 6 月,当时受害者数据的首次泄露出现在其创建者建立的专用网站上。他们后来访问了一个名为 RAMP 的俄罗斯暗网论坛,目的是招募附属机构。他们提供 Cicada3301 作为服务,以一定的价格攻击选定的目标。这种称为勒索软件即服务的模式近年来在不良行为者中流行起来。
由于 Cicada3301 内置了巧妙的策略组合,受害者会发现他们的系统在很大程度上不受用于阻止勒索软件攻击的传统方法的影响。相反,他们会看到一个单独的文本文件,其中提供了防止文件泄露的说明。根据文本文件,此次攻击背后的组织提出加强受害者的安全,以防止未来发生类似的攻击,并在受害者选择付款时提供持续的支持。
2021 年攻击背后的组织所使用的网站和资源最终被美国当局查封。据信该组织已停止活动,但 Cicada3301 与 BlackCat 及其更名的 ALHPV 有很多相似之处。
Cicada3301 是用 Rust 编程语言编写的,使其具有通用性、高效性和可扩展性,但这可以被视为仅仅追随 BlackCat 建立的趋势;在那次攻击之前,用 Rust 编写的勒索软件极其罕见,而且通常只是白帽黑客在网络上展示的概念验证。
除了使用相同的编程语言和一般攻击结构之外,Cicada3301还使用类似的解密方法,并且写入新恶意软件的许多命令与BlackCat中的函数调用完全相同。在这两种攻击中,合法的用户凭据都是通过任何可用的手段(通常是社会工程)获得的,并用于访问目标系统。
从这里开始,两种攻击都使用几乎相同的调用来执行诸如打电话、加密和解密文件、显示消息等操作。然而,Cicada3301 确实带来了一些新技巧。其中最主要的是阻止外部机器(包括虚拟机)访问加密文件和系统的能力。
截至 2024 年 9 月,与 Cicada3301 相关的所有资源似乎仍然有效,并且没有任何与其相关的不良行为者下台或被捕的报道。新的勒索软件有可能是 BlackCat 攻击中的一名或多名团队成员创建的,也可能是一个竞争对手组织在 BlackCat 黑屏之前复制了大部分代码。
以上是Windows 和 Linux 容易受到奇怪熟悉的 Cicada3301 勒索软件的攻击的详细内容。更多信息请关注PHP中文网其他相关文章!