Beszivárgás a Cicada3301 csoportba
A Cicada3301 ransomware-as-a-service (RaaS) csoport 2024. júniusi felfedezése óta megfigyelték, hogy a kritikus szektorok széles skáláján működő vállalkozásokat vesz célba. A csoport 2024 júniusa és októbere között 30 vállalat ellopott adatait tette közzé a dedikált kiszivárogtató webhelyein (DLS), 24 olyan támadásban, amelyek az Egyesült Államokban és az Egyesült Királyságban található áldozatokat követelték. A Group-IB a közelmúltban sikeresen hozzáférést szerzett a Cicada3301 ransomware panelhez. Blogbejegyzésükben megosztják annak belső működését a hozzáférésük során elérhető ransomware-verziók alapos elemzése alapján. Az „eredeti” Cicada 3301 2012-ben jelent meg, mint egy rejtélyes kriptográfiai csoport, amely világszerte kihívást jelentett az egyéneknek összetett kódokkal, digitális és fizikai terekben elrejtett nyomokkal, valamint ezoterikus irodalomra, filozófiára és művészetre való utalásokkal, létrehozva az intellektuális intrika és a mély rejtély auráját. A csoport indítékait és valódi kilétét továbbra is találgatások övezik, az elméletek a titkos társaságtól a hírszerző ügynökségek titkos toborzóeszközéig terjednek.
A Cicada3301 2024. júniusi felfedezése óta három hónap alatt gyorsan 30 szervezetet támadott meg kritikus ágazatokban, jelentős mértékben az Egyesült Államokra és az Egyesült Királyságra összpontosítva. A Cicada3301 ransomware Rust nyelven íródott, támogatja a Windows, a Linux, az ESXi és a NAS platformokat, sőt olyan szokatlan architektúrákra is kiterjed, mint a PowerPC. A Cicada3301 ChaCha20 és RSA titkosítást használ konfigurálható módokkal (Teljes, Gyors, Automatikus), amely képes teljes és részleges fájltitkosításra is a támadások sebességének és hatásának optimalizálása érdekében. A ransomware funkció közé tartozik a virtuális gépek leállítása ESXi és Hyper-V rendszereken, a folyamatok és szolgáltatások megszüntetése, a shadow copy-k törlése és a hálózati megosztások titkosítása a maximális zavarás érdekében.
