Peneliti keamanan siber telah mengungkap cara kerja internal varian ransomware baru yang disebut Cicada3301 yang memiliki kemiripan dengan operasi BlackCat (alias ALPHV) yang sekarang sudah tidak ada lagi.
“Tampaknya ransomware Cicada3301 terutama menargetkan usaha kecil hingga menengah (UKM), kemungkinan melalui serangan oportunistik yang mengeksploitasi kerentanan sebagai vektor akses awal,” kata perusahaan keamanan siber Morphisec dalam laporan teknis yang dibagikan kepada The Hacker News.
Ditulis dalam Rust dan mampu menargetkan host Windows dan Linux/ESXi, Cicada3301 pertama kali muncul pada bulan Juni 2024, mengundang afiliasi potensial untuk bergabung dengan platform ransomware-as-a-service (RaaS) mereka melalui iklan di forum bawah tanah RAMP.
Aspek penting dari ransomware ini adalah bahwa file yang dapat dieksekusi menyertakan kredensial pengguna yang disusupi, yang kemudian digunakan untuk menjalankan PsExec, alat sah yang memungkinkan untuk menjalankan program dari jarak jauh.
Kesamaan Cicada3301 dengan BlackCat juga meluas ke penggunaan ChaCha20 untuk enkripsi, fsutil untuk mengevaluasi tautan simbolik dan mengenkripsi berkas yang dialihkan, serta IISReset.exe untuk menghentikan layanan IIS dan mengenkripsi berkas yang mungkin dikunci untuk modifikasi atau penghapusan.
Tumpang tindih lainnya pada BlackCat mencakup langkah-langkah yang dilakukan untuk menghapus salinan bayangan, menonaktifkan pemulihan sistem dengan memanipulasi utilitas bcdedit, meningkatkan nilai MaxMpxCt untuk mendukung volume lalu lintas yang lebih tinggi (misalnya, permintaan SMB PsExec), dan menghapus semua log peristiwa dengan memanfaatkan utilitas wevtutil.
Cicada3301 juga mengamati penghentian mesin virtual (VM) yang disebarkan secara lokal, suatu perilaku yang sebelumnya diadopsi oleh ransomware Megazord dan ransomware Yanluowang, serta menghentikan berbagai layanan pencadangan dan pemulihan serta daftar lusinan proses yang dikodekan secara keras.
Selain memelihara daftar bawaan berisi file dan direktori yang dikecualikan selama proses enkripsi, ransomware tersebut menargetkan total 35 ekstensi file – sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm, dan txt.
Morphisec mengatakan penyelidikannya juga mengungkap alat tambahan seperti EDRSandBlast yang menjadikan driver yang ditandatangani rentan sebagai senjata untuk menerobos deteksi EDR, sebuah teknik yang juga diadopsi oleh kelompok ransomware BlackByte di masa lalu.
Temuan tersebut mengikuti analisis Truesec terhadap versi ESXi dari Cicada3301, sementara juga mengungkap indikasi bahwa kelompok tersebut mungkin telah bekerja sama dengan operator botnet Brutus untuk memperoleh akses awal ke jaringan perusahaan.
“Terlepas dari apakah Cicada3301 merupakan perubahan merek dari ALPHV, mereka memiliki ransomware yang ditulis oleh pengembang yang sama dengan ALPHV, atau mereka hanya menyalin bagian-bagian dari ALPHV untuk membuat ransomware mereka sendiri, kronologi menunjukkan kehancuran BlackCat dan kemunculan botnet Brutus terlebih dahulu, kemudian operasi ransomware Cicada3301 mungkin saja saling terkait,” catat perusahaan tersebut.
Serangan terhadap sistem VMware ESXi juga memerlukan penggunaan enkripsi intermiten untuk mengenkripsi file yang lebih besar dari ambang batas yang ditetapkan (100 MB) dan parameter bernama “no_vm_ss” untuk mengenkripsi file tanpa mematikan mesin virtual yang berjalan pada host.
Munculnya Cicada3301 juga telah mendorong “gerakan non-politik” yang menyandang nama yang sama, yang telah berkecimpung dalam teka-teki kriptografi “misterius”, untuk mengeluarkan pernyataan bahwa gerakan ini tidak memiliki hubungan dengan skema ransomware.