Peneliti keamanan siber telah mengumpulkan wawasan tambahan tentang ransomware-as-a-service (RaaS) yang baru lahir yang disebut Jangkrik3301 setelah berhasil mendapatkan akses ke panel afiliasi grup di web gelap.
Group-IB yang berkantor pusat di Singapura mengatakan pihaknya menghubungi pelaku ancaman di balik persona Cicada3301 di forum kejahatan dunia maya RAMP melalui layanan pesan Tox setelah layanan pesan Tox memasang iklan yang menyerukan mitra baru ke dalam program afiliasinya.
“Di dalam dasbor panel Afiliasi grup ransomware Cicada3301 berisi bagian-bagian seperti Dasbor, Berita, Perusahaan, Perusahaan Obrolan, Dukungan Obrolan, Akun, bagian FAQ, dan Keluar,” peneliti Nikolay Kichatov dan Sharmine Low mengatakan dalam sebuah pernyataan baru. analisis yang diterbitkan hari ini.
Cicada3301 pertama kali terungkap pada bulan Juni 2024, ketika komunitas keamanan siber menemukan kesamaan kode sumber yang kuat dengan kelompok ransomware BlackCat yang sekarang sudah tidak ada lagi. Skema RaaS diperkirakan telah membahayakan tidak kurang dari 30 organisasi di sektor-sektor penting, yang sebagian besar berlokasi di AS dan Inggris.
Ransomware berbasis Rust bersifat lintas platform, memungkinkan afiliasi untuk menargetkan perangkat yang menjalankan Windows, distribusi Linux Ubuntu, Debian, CentOS, Rocky Linux, Scientific Linux, SUSE, Fedora, ESXi, NAS, PowerPC, PowerPC64, dan PowerPC64LE.
Seperti jenis ransomware lainnya, serangan yang melibatkan Cicada3301 memiliki kemampuan untuk mengenkripsi file secara penuh atau sebagian, namun mematikan mesin virtual, menghambat pemulihan sistem, menghentikan proses dan layanan, dan menghapus salinan bayangan. Ia juga mampu mengenkripsi pembagian jaringan untuk dampak maksimal.
“Cicada3301 menjalankan program afiliasi yang merekrut penguji penetrasi (pentester) dan broker akses, menawarkan komisi 20%, dan menyediakan panel berbasis web dengan fitur ekstensif untuk afiliasi,” kata para peneliti.
Ringkasan dari berbagai bagian adalah sebagai berikut –
- Dasbor – Ikhtisar login afiliasi yang berhasil atau gagal, dan jumlah perusahaan yang diserang
- Berita – Informasi tentang update produk dan berita program ransomware Cicada3301
- Perusahaan – Memberikan opsi untuk menambahkan korban (yaitu, nama perusahaan, jumlah tebusan yang diminta, tanggal kedaluwarsa diskon, dll.) dan membuat build ransomware Cicada3301
- Perusahaan Obrolan – Antarmuka untuk berkomunikasi dan bernegosiasi dengan korban
- Dukungan Obrolan – Antarmuka bagi afiliasi untuk berkomunikasi dengan perwakilan grup ransomware Cicada3301 untuk menyelesaikan masalah
- Akun – Bagian yang dikhususkan untuk manajemen akun afiliasi dan mengatur ulang kata sandi mereka
- Pertanyaan Umum – Memberikan detail tentang aturan dan panduan dalam menciptakan korban di bagian “Perusahaan”, mengonfigurasi pembuat, dan langkah-langkah untuk mengeksekusi ransomware di sistem operasi yang berbeda
“Kelompok ransomware Cicada3301 dengan cepat menjadikan dirinya sebagai ancaman signifikan dalam lanskap ransomware, karena operasinya yang canggih dan peralatannya yang canggih,” kata para peneliti.
“Dengan memanfaatkan enkripsi ChaCha20 + RSA dan menawarkan panel afiliasi yang dapat disesuaikan, Cicada3301 memungkinkan afiliasinya melakukan serangan yang sangat bertarget. Pendekatan mereka dalam mengekstraksi data sebelum enkripsi menambah lapisan tekanan tambahan pada korban, sementara kemampuan untuk menghentikan mesin virtual meningkatkan dampaknya serangan mereka.”
