新たなRansomware-as-a-Service(RaaS)作戦は、合法的なCicada 3301組織になりすまし、その恐喝ポータルにすでに19人の被害者をリストアップし、世界中の企業を迅速に攻撃している。
この新たなサイバー犯罪組織は、2012年から2014年にかけて行われた「Cicada 3301」と名付けられた謎のオンライン/実世界ゲームにちなんで命名され、同じロゴを使用している。
しかし、この2つの間に関連性はなく、正規のプロジェクトは脅威行為者とのいかなる関連も放棄する声明を発表し、ランサムウェア作戦の行動を非難している。
「我々は、これらの凶悪犯罪の背後にいる犯罪者の身元を知りませんし、これらのグループとは一切関係ありません。
6月初旬に発足
Cicada3301 RaaSは2024年6月29日、RAMPとして知られるランサムウェアとサイバー犯罪のフォーラムへの投稿で、この作戦の宣伝とアフィリエイトの募集を初めて開始した。
しかし、6月6日の時点でCicadaの攻撃を認識しており、このギャングがアフィリエイトを募集する前に独自に活動していたことを示しています。
Cicada3301は、他のランサムウェアと同様、企業ネットワークに侵入してデータを盗み、デバイスを暗号化するという二重の恐喝を行います。そして、暗号化キーと盗んだデータを漏えいさせるという脅しをテコに、被害者を脅して身代金を支払わせます。
脅威行為者は、二重の恐喝スキームの一部として使用されるデータ漏えいサイトを運営しています。
Truesecによるこの新しいマルウェアの分析では、Cicada3301とALPHV/BlackCatの間に大きな重複があることが明らかになっており、ALPHVの元コアチームメンバーによって作成されたリブランドまたはフォークの可能性が示唆されています。
これは以下の事実に基づいている:
- どちらもRustで書かれている。
- どちらも暗号化にChaCha20アルゴリズムを使用している。
- どちらも同一のVMシャットダウンとスナップショット・ワイプ・コマンドを採用している。
- どちらも同じユーザー・インターフェース・コマンド・パラメータ、同じファイル命名規則、同じランサムノート復号方法を使用している。
- どちらも大きなファイルに対して断続的な暗号化を使用しています。
背景として、ALPHVは2024年3月上旬に、Change Healthcareからの2,200万ドルという巨額の支払いを関連会社の1社から盗んだ後、FBIの摘発作戦に関する偽の主張を含む終了詐欺を実行しました。
Truesecはまた、Cicada3301ランサムウェアが企業ネットワークへの初期アクセスにBrutusボットネットと提携、または利用している可能性を示す兆候を発見しました。このボットネットは以前、Cisco、Fortinet、Palo Alto、SonicWallのアプライアンスを標的とした世界規模のVPNブルートフォース活動に関連していました。
Brutusの活動が最初に発見されたのは、ALPHVが活動を停止した2週間後であり、この2つのグループの関連性は、時系列的には依然として存在することは注目に値する。
VMware ESXiに対する新たな脅威
Cicada3301はRustベースのランサムウェアで、WindowsとLinux/VMware ESXiの両方の暗号化機能を備えています。Truesec のレポートの一環として、研究者はこのランサムウェアの VMWare ESXi Linux 暗号化ツールを分析しました。
BlackCatや、RansomHubなどの他のランサムウェア・ファミリーと同様、暗号化ツールを起動するには、コマンドラインの引数として特別なキーを入力する必要があります。このキーは、暗号化ツールがデバイスを暗号化する際に使用する設定を含む、暗号化されたJSON blobを復号化するために使用される。
Truesec社によると、暗号化装置は、このキーを使って身代金メモを復号化することでキーの有効性をチェックし、成功すれば残りの暗号化処理を続行する。
そのメイン関数(linux_enc)は、ファイルの暗号化にChaCha20ストリーム暗号を使用し、その過程で使用される共通鍵をRSA鍵で暗号化する。暗号鍵は’OsRng’関数を使ってランダムに生成される。
Cicada3301は、ドキュメントやメディア・ファイルにマッチする特定のファイル拡張子をターゲットとし、そのサイズをチェックして、断続的な暗号化を適用する場所(100MB以上)と、ファイル・コンテンツ全体を暗号化する場所(100MB未満)を決定する。
ファイルを暗号化する際、暗号化ソフトはファイル名にランダムな7文字の拡張子を付加し、下図のように「RECOVER-[拡張子]-DATA.txt」というランサムノートを作成する。BlackCat/ALPHV暗号化ツールもまた、ランダムな7文字の拡張子を使用し、「RECOVER-[拡張子]-FILES.txt」という名前のランサムノートを作成していたことに注意する必要がある。
このランサムウェアの実行者は、スリープ・パラメータを設定することで、暗号化プログラムの実行を遅らせることができます。
また、「no_vm_ss」パラメータは、VMware ESXi仮想マシンを最初にシャットダウンすることなく暗号化するようマルウェアに命令します。
しかしデフォルトでは、Cicada3301はデータを暗号化する前に、まずESXiの「esxcli」と「vim-cmd」コマンドを使用して仮想マシンをシャットダウンし、スナップショットを削除します。
esxcli -formatter=csv -format-param=fields=="WorldID,DisplayName"」 vm process list | grep -viE ",(),"| vm process list|grep -viE ┣,(),┣"for i in `vim-cmd vmsvc/getallvms| awk ¦'{print$1}'`;do vim-cmd vmsvc/snapshot.removeall $i & done > /dev/null 2>&1.
Cicada3301の活動と成功率は、何をやっているかを知っている経験豊富な行為者であることを示しており、ALPHVのリブート、または少なくともランサムウェアの経験がある関連会社を利用しているという仮説をさらに裏付けている。
この新しいランサムウェアがESXi環境に焦点を当てていることは、現在、多くの脅威行為者が利益を得るために標的としているエンタープライズ環境での被害を最大化するための戦略的設計を浮き彫りにしています。
Cicada3301は、ファイルの暗号化とVMの操作を中断させ、復旧オプションを削除する機能を組み合わせることで、ネットワークやインフラ全体に影響を与えるインパクトの大きい攻撃を確実に行い、被害者にかかる圧力を最大化します。
Comments