Ransomware Baru Berbasis Rust Cicada3301 Menargetkan Sistem Windows dan Linux

Peneliti keamanan siber telah mengungkap cara kerja internal varian ransomware baru yang disebut Cicada3301 yang memiliki kemiripan dengan operasi BlackCat (alias ALPHV) yang kini sudah tidak beroperasi lagi.

"Tampaknya ransomware Cicada3301 menargetkan usaha kecil hingga menengah (UKM), kemungkinan melalui serangan oportunistik yang mengeksploitasi kerentanan sebagai vektor initial access," kata perusahaan keamanan siber Morphisec dalam laporan teknis yang dibagikan kepada The Hacker News.

Ditulis dalam bahasa Rust dan mampu menargetkan host Windows dan Linux/ESXi, Cicada3301 pertama kali muncul pada bulan Juni 2024, mengundang calon afiliasi untuk bergabung dengan platform ransomware-as-a-service (RaaS) mereka melalui iklan di forum bawah tanah RAMP.

Aspek penting dari ransomware ini adalah bahwa file yang dapat dieksekusi menyematkan kredensial pengguna yang disusupi, yang kemudian digunakan untuk menjalankan PsExec, alat sah yang memungkinkan untuk menjalankan program dari jarak jauh.

Kesamaan Cicada3301 dengan BlackCat juga meluas ke penggunaan ChaCha20 untuk enkripsi, fsutil untuk mengevaluasi tautan simbolik dan mengenkripsi berkas yang dialihkan, serta IISReset.exe untuk menghentikan layanan IIS dan mengenkripsi berkas yang mungkin dikunci untuk modifikasi atau penghapusan.

BlackCat mencakup langkah-langkah yang dilakukan untuk menghapus shadow copy, menonaktifkan pemulihan sistem dengan memanipulasi utilitas bcdedit, meningkatkan nilai MaxMpxCt untuk mendukung volume lalu lintas yang lebih tinggi (misalnya, permintaan SMB PsExec), dan menghapus semua log event dengan memanfaatkan utilitas wevtutil.

Cicada3301 juga mengamati penghentian mesin virtual (VM) yang disebarkan secara lokal, perilaku yang sebelumnya diadopsi oleh ransomware Megazord dan ransomware Yanluowang, dan menghentikan berbagai layanan pencadangan dan pemulihan serta daftar lusinan proses yang ditulis secara hard-code.

Selain mempertahankan daftar bawaan berisi file dan direktori yang dikecualikan selama proses enkripsi, ransomware tersebut menargetkan total 35 ekstensi file - sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm, dan txt.

Morphisec mengatakan penyelidikannya juga mengungkap alat tambahan seperti EDRSandBlast yang menjadikan driver yang ditandai rentan sebagai senjata untuk melewati deteksi EDR, sebuah teknik yang juga diadopsi oleh kelompok ransomware BlackByte di masa lalu. Temuan tersebut mengikuti analisis Truesec terhadap versi ESXi dari Cicada3301, sekaligus mengungkap indikasi bahwa kelompok tersebut mungkin telah bekerja sama dengan operator botnet Brutus untuk memperoleh akses awal ke jaringan perusahaan.

"Terlepas dari apakah Cicada3301 merupakan merek baru dari ALPHV, mereka memiliki ransomware yang ditulis oleh pengembang yang sama dengan ALPHV, atau mereka hanya menyalin bagian-bagian dari ALPHV untuk membuat ransomware mereka sendiri, kronologi tersebut menunjukkan bahwa kehancuran BlackCat dan kemunculan botnet Brutus terlebih dahulu dan kemudian operasi ransomware Cicada3301 mungkin semuanya saling terkait," kata perusahaan tersebut.

Serangan terhadap sistem VMware ESXi juga memerlukan penggunaan enkripsi intermiten untuk mengenkripsi file yang lebih besar dari ambang batas yang ditetapkan (100 MB) dan parameter bernama "no_vm_ss" untuk mengenkripsi file tanpa mematikan mesin virtual yang berjalan di host. Munculnya Cicada3301 juga telah mendorong "gerakan non-politik" yang menyandang nama yang sama, yang telah berkecimpung dalam teka-teki kriptografi "misterius", untuk mengeluarkan pernyataan bahwa gerakan ini tidak memiliki hubungan dengan skema ransomware.

Sumber: TheHackerNews.com