Серверы VMware ESXi подверглись атаке нового варианта вируса-вымогателя от группы Cicada3301

Исследователи безопасности обнаружили новый вариант двойного вымогательства, нацеленный на серверы VMware ESXi. Группа, стоящая за ним, под названием Cicada3301, продвигает свою операцию по вымогательству как услуге с июня.

Получив первоначальный доступ к корпоративной сети, злоумышленник может скопировать и зашифровать ее личные данные с помощью программы-вымогателя Cicada3301. Затем они могут скрыть ключ дешифрования и угрожать раскрытием данных на специальном сайте утечки Cicada3310, чтобы заставить жертву заплатить выкуп.

По данным Morphisec, сайт утечки Cicada3301 перечислил по меньшей мере 20 жертв, в основном в Северной Америке и Англии. Компании были разных размеров и представляли ряд отраслей, включая производство, здравоохранение, розничную торговлю и гостиничный бизнес.

Шведская компания по безопасности Truesec впервые узнала о группе, когда 29 июня она опубликовала пост на форуме киберпреступности RAMP в попытке завербовать новых партнеров. Однако BleepingComputer утверждает, что узнала об атаках Cicada еще 6 июня.

Как работает вирус-вымогатель

Злоумышленники получают доступ путем подбора паролей или кражи действительных учетных данных, а затем удаленно входят в систему через ScreenConnect и запускают программу-вымогатель.

Сначала выполняются команды ESXi «esxcli» и «vim-cmd», чтобы завершить работу виртуальных машин и удалить все снимки. Затем программа-вымогатель использует шифр ChaCha20 и симметричный ключ, сгенерированный с помощью генератора случайных чисел «Osrng», для шифрования файлов.

Все файлы размером менее 100 МБ полностью шифруются, а к файлам большего размера применяется прерывистое шифрование. Функция шифрования нацелена на определенные расширения файлов, связанные с документами и изображениями, включая docx, xslx и pptx. Исследователи Truesec говорят, что это указывает на то, что изначально вирус-вымогатель использовался для шифрования систем Windows, а затем был перенесен на хосты ESXi.

К зашифрованным именам файлов добавляются случайные семисимвольные расширения, которые затем используются для обозначения соответствующих им заметок по восстановлению, хранящихся в той же папке. Это также метод, используемый ведущей группой RaaS BlackCat/ALPHV.

Программа-вымогатель Cicada3301 позволяет оператору выполнять ряд пользовательских параметров, которые могут помочь ему избежать обнаружения. Например, «sleep» задерживает шифрование на определенное количество секунд, а «ui» предоставляет данные в реальном времени о процессе шифрования, такие как количество зашифрованных файлов.

После завершения шифрования симметричный ключ ChaCha20 шифруется ключом RSA. Он необходим для расшифровки инструкций по восстановлению, и злоумышленники могут передать его после оплаты.

Злоумышленник также может украсть данные жертвы и пригрозить опубликовать их на сайте утечки Cicada3301 для получения дополнительного давления.

СМ.: Массовая операция по вымогательству нацелена на VMware ESXi: как защититься от этой угрозы безопасности

Киберзлоумышленники выдают себя за реальные организации

Группа вымогателей выдает себя за легитимную организацию под названием «Cicada 3301», ответственную за известную серию криптографических игр. Между ними нет никакой связи, несмотря на то, что злоумышленники украли ее логотип и брендинг.

СМ.: Памятка по программам-вымогателям на 2024 год

Проект головоломки Cicada 3301 опубликовал заявление, в котором дистанцировался от группы RaaS: «Мы не знаем личности преступников, стоящих за этими отвратительными преступлениями, и никак не связаны с этими группами».

Между Cicada3301 и ALPHV/BlackCat есть ряд сходств, которые заставили исследователей поверить в то, что они связаны. Серверы ALPHV/BlackCat вышли из строя в марте, поэтому было бы целесообразно, чтобы новая группа представляла собой либо ребрендинг, либо ответвление, инициированное некоторыми из ее основных членов.

Cicada3301 также может состоять из другой группы злоумышленников, которые просто купили исходный код ALPHV/BlackCat после того, как он прекратил работу.

Как и ALPHV/BlackCat, вирус-вымогатель Cicada3301 был связан с ботнетом под названием «Brutus». IP-адрес устройства для входа в сеть жертвы через ScreenConnect связан с «широкой кампанией по подбору паролей различных VPN-решений» Brutus, утверждает Truesec.

Cicada3310 может быть ребрендингом или ответвлением ALPHV/BlackCat

ALPHV/BlackCat прекратили свою деятельность после неаккуратно выполненной кибератаки на Change Healthcare в феврале. Группа не выплатила аффилированному лицу свой процент от выкупа в размере 22 миллионов долларов, поэтому аффилированное лицо разоблачило их, что побудило ALPHV сфальсифицировать захват правоохранительными органами и отключить свои серверы.

СМ.: Сайт BlackCat/ALPHV Ransomware арестован в ходе международных усилий по его блокировке

Cicada3301 может представлять собой ребрендинг или ответвление группы ALPHV/BlackCat. Также есть ряд сходств между их программами-вымогателями, например:

Оба написаны на Rust. Оба используют алгоритм ChaCha20 для шифрования. Оба используют идентичные команды выключения виртуальной машины и очистки снимков. Оба используют одинаковые параметры команд пользовательского интерфейса, одинаковое соглашение об именовании файлов и один и тот же метод расшифровки записки о выкупе. Оба используют прерывистое шифрование для больших файлов.

Более того, атаки методом подбора паролей со стороны ботнета Brutus, который теперь связан с Cicada3310, были впервые замечены всего через две недели после того, как ALPHV/BlackCat закрыл свои серверы в марте.

VMware ESXi становится популярной целью программ-вымогателей

Truesec заявила, что вирус-вымогатель Cicada 3310 используется как на хостах Windows, так и на Linux/VMware ESXi. VMware ESXi — это гипервизор на основе «голого железа», который позволяет создавать и управлять виртуальными машинами непосредственно на серверном оборудовании, которое может включать критически важные серверы.

Среда ESXi в последнее время стала целью многих кибератак, и VMware лихорадочно выпускает исправления по мере появления новых уязвимостей. Взлом гипервизора может позволить злоумышленникам одновременно отключить несколько виртуальных машин и удалить возможности восстановления, такие как моментальные снимки или резервные копии, что окажет значительное влияние на операции компании.

Такая направленность подчеркивает интерес киберпреступников к получению огромных доходов за счет нанесения максимального ущерба корпоративным сетям.