Новый вымогатель Cicada3301, написанный на Rust, нацелился на системы Windows и Linux

В мире кибербезопасности появился новый вымогатель под названием Cicada3301, который, похоже, наследует методы и тактики ранее известных групп, таких как BlackCat (ALPHV). Исследователи из компании Morphisec раскрыли детали работы Cicada3301 и его целевые особенности.

Cicada3301, написанный на языке программирования Rust, начал свою активность в июне 2024 года. Он нацелен как на системы Windows, так и на хосты Linux/ESXi. В отличие от многих других вымогателей, Cicada3301 использует встроенные учетные данные пользователей для запуска инструментов, таких как PsExec, который позволяет удаленно выполнять программы.

Этот вымогатель проявляет явные сходства с BlackCat, в том числе в методах шифрования данных. Cicada3301 использует алгоритм ChaCha20 для шифрования файлов, применяет утилиту fsutil для работы с символическими ссылками и файлы, а также IISReset.exe для остановки служб IIS и шифрования заблокированных файлов. Также наблюдаются схожие шаги по удалению теневых копий и отключению системы восстановления.

Cicada3301 также обнаруживает и останавливает локально развернутые виртуальные машины (VM) и прерывает работу различных сервисов резервного копирования. Рансомваре нацеливается на 35 расширений файлов, включая sql, doc, rtf, xls, jpg, jpeg, pdf и многие другие.

Дополнительно, Morphisec обнаружила, что вымогатель использует инструменты, такие как EDRSandBlast, чтобы обходить системы обнаружения угроз, используя уязвимые подписанные драйверы. Это также использовалось группой BlackByte.

Исследования показывают, что Cicada3301 может быть связан с ботнетом Brutus, который используется для первоначального доступа к корпоративным сетям. Несмотря на схожесть с BlackCat, Cicada3301 представляет собой самостоятельный проект с уникальными особенностями и методами.