Ransomware-Gruppe Cicada3301: Spezialisiert auf ESXi-Server
IT-Forscher haben eine neue Ransomware-as-a-Service-Gruppe mit dem Namen Cicada3301 entdeckt. Sie ist auf ESXi-Server spezialisiert.
Cicada3301 ist eine neue Ransomware-as-a-Service-Gruppierung.
(Bild: Screenshot / dmk)
IT-Sicherheitsforscher haben bei der Untersuchung eines IT-Vorfalls eine neue Cybergang entdeckt. Cicada3301 agiert als Ransomware-as-a-Service-Gruppe. Derzeit scheint sie insbesondere auf Windows und Linux auf ESXi-Hostsspezialisiert zu sein.
In ihrer Analyse schreiben die IT-Forscher von Truesec, dass die Gruppe erstmals im Juni 2024 in Erscheinung getreten ist. Die kriminelle Gruppierung betreibt eine Ransomware- und eine Datenleck-Seite und bietet diese Affiliates an, um die sie seit dem 29. Juni auch mit einer Einladung in ihrem Forum geworben haben.
Ransomware sicher programmiert
Die Ransomware der Cybergang ist in Rust programmiert und zielt auf Linux und Windows auf ESXi-Hosts. Aufgrund dieser Spezialisierung, die zuvor nur wenige Ransomware-Gangs vorzuweisen hatten, geht Truesec von Verbindungen zur inzwischen nicht mehr aktiven Cybergang AlphV/Blackcat aus – es fänden sich auch Ähnlichkeiten im Code zu der AlphV-Ransomware: Beide seien in Rust geschrieben, beide nutzen ChaCha20 zur Verschlüsselung, die Befehle zum Herunterfahren von VMs und Entfernen von Snapshots sind nahezu identisch und beide nutzen einen -ui-Parameter zur Ausgabe einer Grafik bei der Verschlüsselung. Es seien noch weitere Ähnlichkeiten zu finden.
Bei dem konkret untersuchten Vorfall haben die Einbrecher gültige Log-in-Daten für ScreenConnect für den initialen Einbruch verwendet. Die IP-Adresse der Kriminellen ließ sich dabei auf ein Botnet namens "Brutus" zurückführen. Brutus steht in Zusammenhang mit einer größeren Credential-Stuffing-Kampagne auf diverse VPN-Programme, einschließlich ScreenConnect.
Da die IP-Adresse nur wenige Stunden zuvor auffiel, gehen die IT-Forscher davon aus, dass in der kurzen Zeit die Zugangsdaten nicht verkauft wurden, sondern dass engere Bande bestehen. Eine weitere Beobachtung könnte wieder auf Verknüpfungen mit AlphV hindeuten: Die Brutus-Botnet-Aktivitäten gingen rund zwei Wochen los, nachdem AlphV mit einer letzten Betrugsmasche von der Bühne verschwunden war.
Die IT-Forensiker mutmaßen, dass sich Teile der AlphV/Blackcat-Bande als Cicada3301 neu formiert und sich mit dem Brutus-Botnet verbündete oder dieses sogar selbst starteten. Zugleich als Initial Access Broker (IAB) aufzutreten, mündet schließlich in einem umfangreicheren Komplett-Angebot für potenzielle Affiliates.
Wie die kriminelle Vereinigung an den AlphV-Code gelangte, ist ebenfalls Auslöser weiterer Spekulationen. Entweder hat Cicada3301 sich mit dem Programmierer der AlphV-Malware zusammengetan, er habe in der Vergangenheit immerhin für unterschiedliche Ransomware-Gruppen gearbeitet, erörtern die IT-Forensiker. Oder sie haben die Ransomware auf anderen Wegen erstanden – als AlphV das Ende der Bande verkündete, habe sie den Quellcode für 5 Millionen US-Dollar angeboten.
Wichtig sei auch der Hinweis, dass die Cicada3301-Ransomware nicht so fortschrittlich sei wie die von AlphV. Interessierte finden in der Analyse dann noch technische Details zur Ransomware und eine YARA-Regel zur Erkennung der Ransomware.
Der Name der Ransomware-Gruppe lehnt sich an eine geheimnisvolle Schnitzeljagd im Internet an, die ab 2012 stattfand. Die Rätselwettbewerbe stießen auf größeres Interesse. Daraus entstand 2021 der eher mittelmäßige Spielfilm "Dark Web: Cicada 3301".
Im ersten Absatz präzisiert, dass es um Windows- und Linux-Systeme auf ESXi-Hosts geht.
(dmk)