Windows und Linux sind anfällig für die seltsam bekannte Ransomware Cicada3301

Eine relativ neue Ransomware namens Cicada3301 wurde von Cybersicherheitsforschern eingehend analysiert, und die Ergebnisse offenbaren überraschende Rückgriffe auf berüchtigte Angriffe aus der jüngsten Vergangenheit. Cicada3301 kann auf Linux-basierte und Windows-Systeme abzielen.

Diese neue Malware weist Ähnlichkeit mit BlackCat auf, der Ransomware, die beim Angriff auf die Colonial Pipeline im Jahr 2021 verwendet wurde. Das Besondere daran ist, dass Cicada3301 einen zweigleisigen Ansatz verfolgt, um die Opfer zur Rechenschaft zu ziehen. Dateien werden nicht nur verschlüsselt, sie werden auch verpackt und verloren, wenn keine Zahlung erfolgt.

Cicada3301 wurde erstmals im Juni 2024 entdeckt, als das erste Leck von Daten eines Opfers auf der von seinen Erstellern eingerichteten speziellen Website auftauchte. Später besuchten sie ein russisches Dark-Web-Forum namens RAMP mit dem Ziel, Partner zu werben. Sie boten Cicada3301 als Dienstleistung an und boten an, ausgewählte Ziele gegen eine Gebühr anzugreifen. Dieses als Ransomware-as-a-Service bezeichnete Modell hat in den letzten Jahren bei Kriminellen an Popularität gewonnen.

Dank einer cleveren Mischung von Taktiken, die in Cicada3301 integriert sind, werden die Systeme der Opfer weitgehend immun gegen herkömmliche Maßnahmen zur Eindämmung von Ransomware-Angriffen sein. Stattdessen werden sie von einer einzelnen Textdatei mit Anweisungen zum Schutz ihrer Dateien vor der Offenlegung begrüßt. Der Textdatei zufolge bietet die Gruppe, die hinter diesem Angriff steht, ein Angebot zur Verbesserung der Sicherheit der Opfer an, um ähnliche Angriffe in der Zukunft zu verhindern, sowie fortlaufende Unterstützung, falls sich ein Opfer für eine Zahlung entscheidet.

Die Website und die Ressourcen, die von der Gruppe hinter dem Angriff von 2021 genutzt wurden, wurden schließlich von den US-Behörden beschlagnahmt. Man geht davon aus, dass die Gruppe ihre Aktivitäten eingestellt hat, aber die Ähnlichkeiten, die Cicada3301 mit BlackCat und seinem Rebranding ALHPV aufweist, sind zahlreich.

Cicada3301 ist in der Programmiersprache Rust geschrieben, was es vielseitig, effizient und erweiterbar macht, aber das könnte man als bloße Folge des von BlackCat etablierten Trends abtun; Bis zu diesem Angriff war in Rust geschriebene Ransomware äußerst selten und diente meist nur als Proof-of-Concept, der von White-Hat-Hackern im gesamten Web vorgeführt wurde.

Cicada3301 verwendet nicht nur dieselbe Programmiersprache und allgemeine Angriffsstruktur, sondern auch ähnliche Entschlüsselungsmethoden, und viele in die neue Malware geschriebene Befehle sind genau die gleichen wie Funktionsaufrufe in BlackCat. Bei beiden Angriffen werden legitime Benutzeranmeldeinformationen mit allen verfügbaren Mitteln, häufig Social Engineering, erlangt und verwendet, um Zugriff auf das Zielsystem zu erhalten.

Von da an verwenden beide Angriffe nahezu identische Aufrufe, um beispielsweise nach Hause zu telefonieren, Dateien zu ver- und entschlüsseln, Nachrichten anzuzeigen und mehr. Cicada3301 bringt jedoch einige neue Tricks mit. Die wichtigste davon ist die Fähigkeit, externe Maschinen, einschließlich virtueller Maschinen, am Zugriff auf verschlüsselte Dateien und Systeme zu hindern.

Stand September 2024 scheinen alle mit Cicada3301 verbundenen Ressourcen noch aktiv zu sein, und es gab keine Berichte über einen Rücktritt oder eine Festnahme von Bösewichten, die mit Cicada3301 in Verbindung stehen. Es ist möglich, dass die neue Ransomware von einem oder mehreren Teammitgliedern der BlackCat-Angriffe oder von einer rivalisierenden Gruppe stammt, die einen Großteil des Codes von BlackCat kopiert hat, bevor es dunkel wurde.

Das obige ist der detaillierte Inhalt vonWindows und Linux sind anfällig für die seltsam bekannte Ransomware Cicada3301. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!