Windows et Linux vulnérables au rançongiciel Cicada3301 étrangement familier

Un logiciel de rançon relativement nouveau, appelé Cicada3301, a été analysé en détail par des chercheurs en cybersécurité, et les résultats révèlent des rappels surprenants à des attaques tristement célèbres du passé récent. Cicada3301 est capable de cibler les systèmes Linux et Windows.

Ce nouveau malware ressemble à BlackCat, le ransomware utilisé lors de l'attaque de 2021 contre le Colonial Pipeline. Le facteur unique est que Cicada3301 utilise une approche à deux volets pour faire payer les victimes ; non seulement les fichiers sont cryptés, mais ils sont également empaquetés et divulgués si le paiement n'est pas effectué.

Cicada3301 a été repérée pour la première fois en juin 2024, lorsque la première fuite des données d'une victime est apparue sur le site dédié mis en place par ses créateurs. Ils se sont ensuite rendus sur un forum russe du dark web appelé RAMP dans le but de solliciter des affiliés. Ils ont proposé Cicada3301 en tant que service, proposant d'attaquer des cibles sélectionnées moyennant un certain prix. Ce modèle, appelé ransomware-as-a-service, a gagné en popularité auprès des mauvais acteurs ces dernières années.

Les victimes verront leurs systèmes largement immunisés contre les efforts traditionnels utilisés pour endiguer les attaques de ransomwares grâce à un savant mélange de tactiques intégrées à Cicada3301. À la place, ils seront accueillis par un seul fichier texte offrant des instructions pour éviter que leurs fichiers ne soient divulgués. Selon le fichier texte, le groupe à l'origine de cette attaque propose de renforcer la sécurité des victimes afin d'éviter des attaques similaires à l'avenir, ainsi qu'un soutien continu si une victime choisit de payer.

Le site Web et les ressources utilisées par le groupe à l'origine de l'attaque de 2021 ont finalement été saisis par les autorités américaines. On pense que le groupe a cessé ses activités, mais les similitudes entre Cicada3301 et BlackCat et sa nouvelle marque, ALHPV, sont nombreuses.

Cicada3301 est écrit dans le langage de programmation Rust, ce qui le rend polyvalent, efficace et extensible, mais cela pourrait être considéré comme suivant simplement la tendance établie par BlackCat ; Jusqu’à cette attaque, les ransomwares écrits en Rust étaient extrêmement rares et constituaient le plus souvent une simple preuve de concept présentée par des pirates informatiques à chapeau blanc sur le Web.

En plus d'utiliser le même langage de programmation et la même structure d'attaque générale, Cicada3301 utilise des méthodes de décryptage similaires, et de nombreuses commandes écrites dans le nouveau malware sont exactement les mêmes que les appels de fonction trouvés dans BlackCat. Dans les deux attaques, les informations d’identification légitimes des utilisateurs sont obtenues par tous les moyens disponibles, souvent l’ingénierie sociale, et utilisées pour accéder au système cible.

À partir de là, les deux attaques utilisent des appels presque identiques pour effectuer des opérations telles que téléphoner à la maison, chiffrer et déchiffrer des fichiers, afficher des messages, etc. Cicada3301 propose cependant de nouvelles astuces. Le principal d’entre eux est la possibilité d’empêcher les machines extérieures, y compris les machines virtuelles, d’accéder aux fichiers et systèmes cryptés.

En septembre 2024, toutes les ressources liées à Cicada3301 sont apparemment toujours actives, et aucun acteur malveillant lié à celle-ci n'a démissionné ou été appréhendé. Il est possible que le nouveau ransomware soit la création d'un ou plusieurs membres de l'équipe des attaques BlackCat, ou d'un groupe rival qui a copié une grande partie du code de BlackCat avant qu'il ne devienne sombre.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!