Siber güvenlik araştırmacıları, artık faaliyette olmayan BlackCat (diğer adıyla ALPHV) operasyonuyla benzerlikler taşıyan Cicada3301 adlı yeni bir fidye yazılımı türünün iç işleyişini ortaya çıkardı.
Siber güvenlik şirketi Morphisec, The Hacker News ile paylaştığı teknik raporda, “Görünüşe göre Cicada3301 fidye yazılımı, ilk erişim vektörü olarak güvenlik açıklarını kullanan fırsatçı saldırılar yoluyla öncelikle küçük ve orta ölçekli işletmeleri (KOBİ’ler) hedef alıyor” dedi.
Rust dilinde yazılan ve hem Windows hem de Linux/ESXi ana bilgisayarlarını hedef alabilen Cicada3301, ilk olarak Haziran 2024’te RAMP yeraltı forumunda bir reklam aracılığıyla potansiyel iştirakçileri fidye yazılımı hizmeti (RaaS) platformlarına katılmaya davet ederek ortaya çıktı.
Fidye yazılımının dikkat çeken bir yönü de, çalıştırılabilir dosyanın, saldırıya uğramış kullanıcının kimlik bilgilerini içermesi ve bu bilgilerin daha sonra uzaktan programları çalıştırmayı mümkün kılan meşru bir araç olan PsExec’i çalıştırmak için kullanılmasıdır.
Cicada3301’in BlackCat ile benzerlikleri arasında şifreleme için ChaCha20, sembolik bağlantıları değerlendirmek ve yönlendirilen dosyaları şifrelemek için fsutil ve IIS servislerini durdurmak ve aksi takdirde değişiklik veya silme için kilitlenebilecek dosyaları şifrelemek için IISReset.exe kullanımı da yer alıyor.
BlackCat’e ait diğer örtüşmeler arasında gölge kopyaları silmek, bcdedit yardımcı programını manipüle ederek sistem kurtarmayı devre dışı bırakmak, daha yüksek trafik hacimlerini (örneğin, SMB PsExec istekleri) desteklemek için MaxMpxCt değerini artırmak ve wevtutil yardımcı programını kullanarak tüm olay günlüklerini temizlemek için atılan adımlar yer alır.
Cicada3301 ayrıca daha önce Megazord ve Yanluowang fidye yazılımları tarafından da benimsenen yerel olarak dağıtılan sanal makineleri (VM) durdurmayı ve çeşitli yedekleme ve kurtarma hizmetlerini ve düzinelerce işlemden oluşan sabit kodlu listeyi sonlandırmayı da gözlemledi.
Şifreleme işlemi sırasında hariç tutulan dosya ve dizinlerin yerleşik bir listesini tutmanın yanı sıra, fidye yazılımı toplam 35 dosya uzantısını hedefliyor: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm ve txt.
Morphisec, soruşturmasının ayrıca, EDR tespitlerini atlatmak için savunmasız imzalı bir sürücüyü silah olarak kullanan EDRSandBlast gibi ek araçları da ortaya çıkardığını söyledi; bu teknik geçmişte BlackByte fidye yazılımı grubu tarafından da benimsenmişti.
Bulgular, Truesec’in Cicada3301’in ESXi sürümüne yönelik analizini takip ederken, aynı zamanda grubun kurumsal ağlara ilk erişimi elde etmek için Brutus botnet operatörleriyle işbirliği yapmış olabileceğine dair belirtileri de ortaya çıkardı.
Şirket, “Cicada3301’in ALPHV’nin yeniden markalanmış hali olup olmadığına, ALPHV ile aynı geliştirici tarafından yazılmış bir fidye yazılımına sahip olup olmadığına veya kendi fidye yazılımlarını yapmak için ALPHV’nin bazı bölümlerini kopyalayıp kopyalamış olup olmadıklarına bakılmaksızın, zaman çizelgesi, BlackCat’in çöküşü ve önce Brutus botnet’inin, ardından da Cicada3301 fidye yazılımı operasyonunun ortaya çıkmasının muhtemelen birbirine bağlı olabileceğini gösteriyor” dedi.
VMware ESXi sistemlerine yönelik saldırılar, belirli bir eşik değerinden (100 MB) büyük dosyaları şifrelemek için aralıklı şifreleme ve ana bilgisayarda çalışan sanal makineleri kapatmadan dosyaları şifrelemek için “no_vm_ss” adlı bir parametrenin kullanılmasını da içeriyor.
Cicada3301’in ortaya çıkışı, “gizemli” kriptografik bulmacalarla uğraşan ve aynı adı taşıyan “politik olmayan bir hareketin” fidye yazılımı planıyla hiçbir bağlantısının olmadığını bildiren bir açıklama yapmasına da yol açtı.