Cicada
イメージミッドジャーニー

Cicada3301と名付けられた新たなランサムウェア・アズ・ア・サービス(RaaS)作戦は、世界中の企業を迅速に攻撃し、その恐喝ポータルにすでに19人の被害者をリストアップしている。

この新たなサイバー犯罪活動は、2012年から2014年にかけて行われた、精巧な暗号パズルを含む謎のオンライン/実世界ゲームにちなんで名付けられ、サイバー犯罪フォーラムでの宣伝に同じロゴが使用された。

しかし、この2つに関連性はなく、正規のプロジェクトはいかなる関連性も放棄し、ランサムウェア運営者の行為を非難する声明を発表している。

Cicada3301 RaaSは2024年6月29日、RAMPとして知られるランサムウェアとサイバー犯罪のフォーラムへの投稿で、初めて運営を宣伝し、アフィリエイトを募集し始めた。

しかし、6月6日の時点でCicadaの攻撃を認識しており、このギャングがアフィリエイトを募集する前に独自に活動していたことを示しています。

Cicada3301 ransomware promoted on RAMP forums
Cicada3301 ランサムウェアの運営者が RAMP フォーラムでアフィリエイトを募集
出典:Truesec:Truesec

Cicada3301は、他のランサムウェアと同様、企業ネットワークに侵入してデータを盗み、デバイスを暗号化するという二重の恐喝を行います。そして、暗号化キーと盗んだデータを漏えいさせるという脅しをテコに、被害者を脅して身代金を支払わせます。

脅威行為者は、二重の恐喝スキームの一部として使用されるデータ漏えいサイトを運営しています。

Cicada3301 extortion portal
Cicada3301 恐喝ポータル
ソースは こちら:

Truesecによるこの新しいマルウェアの分析では、Cicada3301とALPHV/BlackCatの間に大きな重複があることが明らかになっており、ALPHVの元コアチームメンバーによって作成されたリブランドまたはフォークの可能性が示唆されています。

これは以下の事実に基づいている:

  • どちらもRustで書かれている。
  • どちらも暗号化にChaCha20アルゴリズムを使用している。
  • どちらも同一のVMシャットダウンとスナップショット・ワイプ・コマンドを採用している。
  • どちらも同じユーザー・インターフェース・コマンド・パラメータ、同じファイル命名規則、同じランサムノート復号方法を使用している。
  • どちらも大きなファイルに対して断続的な暗号化を使用しています。

背景として、ALPHVは2024年3月上旬に、Change Healthcareからの2,200万ドルという巨額の支払いを関連会社の1社から盗んだ後、FBIの摘発作戦に関する偽の主張を含む終了詐欺を実行しました。

Truesecはまた、Cicada3301ランサムウェアが企業ネットワークへの初期アクセスにBrutusボットネットと提携、または利用している可能性を示す兆候を発見しました。このボットネットは以前、Cisco、Fortinet、Palo Alto、SonicWallのアプライアンスを標的とした世界規模のVPNブルートフォース活動に関連していました。

Brutusの活動が最初に発見されたのは、ALPHVが活動を停止した2週間後であり、この2つのグループの関連性は、時系列的には依然として存在することは注目に値する。

VMware ESXiに対する新たな脅威

Cicada3301はRustベースのランサムウェアで、WindowsとLinux/VMware ESXiの両方の暗号化機能を備えています。Truesec のレポートの一環として、研究者はこのランサムウェアの VMWare ESXi Linux 暗号化ツールを分析しました。

BlackCatや、RansomHubなどの他のランサムウェア・ファミリーと同様、暗号化ツールを起動するには、コマンドラインの引数として特別なキーを入力する必要があります。このキーは、暗号化ツールがデバイスを暗号化する際に使用する設定を含む、暗号化されたJSON blobを復号化するために使用される。

Truesec社によると、暗号化装置は、このキーを使って身代金メモを復号化することでキーの有効性をチェックし、成功すれば残りの暗号化処理を続行する。

そのメイン関数(linux_enc)は、ファイルの暗号化にChaCha20ストリーム暗号を使用し、その過程で使用される共通鍵をRSA鍵で暗号化する。暗号鍵は’OsRng’関数を使ってランダムに生成される。

Cicada3301は、ドキュメントやメディア・ファイルにマッチする特定のファイル拡張子をターゲットとし、そのサイズをチェックして、断続的な暗号化を適用する場所(100MB以上)と、ファイル・コンテンツ全体を暗号化する場所(100MB未満)を決定する。

ファイルを暗号化する際、暗号化ソフトはファイル名にランダムな7文字の拡張子を付加し、下図のように「RECOVER-[拡張子]-DATA.txt」というランサムノートを作成する。BlackCat/ALPHV暗号化ツールもまた、ランダムな7文字の拡張子を使用し、「RECOVER-[拡張子]-FILES.txt」という名前のランサムノートを作成していたことに注意する必要がある。

Cicada3301 ransom note
Cicada3301 身代金メモ
ソースは こちら:

このランサムウェアの実行者は、スリープ・パラメータを設定することで、暗号化プログラムの実行を遅らせることができます。

また、「no_vm_ss」パラメータは、VMware ESXi仮想マシンを最初にシャットダウンすることなく暗号化するようマルウェアに命令します。

しかしデフォルトでは、Cicada3301はデータを暗号化する前に、まずESXiの「esxcli」と「vim-cmd」コマンドを使用して仮想マシンをシャットダウンし、スナップショットを削除します。

esxcli -formatter=csv -format-param=fields=="WorldID,DisplayName"」 vm process list | grep -viE ",(),"| vm process list|grep -viE ┣,(),┣"for i in `vim-cmd vmsvc/getallvms| awk ¦'{print$1}'`;do vim-cmd vmsvc/snapshot.removeall $i & done > /dev/null 2>&1.

Cicada3301の活動と成功率は、何をやっているかを知っている経験豊富な行為者であることを示しており、ALPHVのリブート、または少なくともランサムウェアの経験がある関連会社を利用しているという仮説をさらに裏付けている。

この新しいランサムウェアがESXi環境に焦点を当てていることは、現在多くの脅威行為者が利益を得るために標的としているエンタープライズ環境での被害を最大化するための戦略的設計を浮き彫りにしています。

Cicada3301は、ファイルの暗号化とVMの運用を中断させ、復旧オプションを削除する機能を組み合わせることで、ネットワークやインフラ全体に影響を与えるインパクトの大きい攻撃を確実に行い、被害者にかかる圧力を最大化します。