Operasi ransomware-as-a-service (RaaS) baru bernama Cicada3301 telah mendaftarkan 19 korban di portal pemerasannya, karena dengan cepat menyerang perusahaan-perusahaan di seluruh dunia.
Operasi kejahatan dunia maya yang baru ini dinamai berdasarkan permainan daring/dunia nyata misterius tahun 2012-2014 yang melibatkan teka-teki kriptografi rumit dan menggunakan logo yang sama untuk promosi di forum kejahatan dunia maya. Namun, kecil kemungkinan ada hubungan antara keduanya.
Cicada3301 RaaS pertama kali mulai mempromosikan operasi dan merekrut afiliasi pada tanggal 29 Juni 2024, dalam sebuah posting forum di forum ransomware dan kejahatan dunia maya yang dikenal sebagai RAMP.
Namun, BleepingComputer mengetahui serangan Cicada sejak 6 Juni, yang menunjukkan bahwa geng tersebut beroperasi secara independen sebelum mencoba merekrut afiliasi.
Sumber: Truesec
Seperti operasi ransomware lainnya, Cicada3301 melakukan taktik pemerasan ganda dengan membobol jaringan perusahaan, mencuri data, dan kemudian mengenkripsi perangkat. Kunci enkripsi dan ancaman untuk membocorkan data curian kemudian digunakan sebagai daya ungkit untuk menakut-nakuti korban agar membayar tebusan.
Aktor ancaman mengoperasikan situs kebocoran data yang digunakan sebagai bagian dari skema pemerasan ganda mereka.
Sumber: BleepingComputer
Sebuah analisis malware baru oleh Truesec mengungkapkan adanya tumpang tindih yang signifikan antara Cicada3301 dan ALPHV/BlackCat, yang menunjukkan kemungkinan adanya perubahan merek atau percabangan yang dibuat oleh mantan anggota tim inti ALPHV.
Hal ini berdasarkan fakta bahwa:
- Keduanya ditulis dalam Rust.
- Keduanya menggunakan algoritma ChaCha20 untuk enkripsi.
- Keduanya menggunakan perintah penghentian VM dan penghapusan snapshot yang identik.
- Keduanya menggunakan parameter perintah antarmuka pengguna yang sama, konvensi penamaan file yang sama, dan metode dekripsi catatan tebusan yang sama.
- Keduanya menggunakan enkripsi intermiten pada file yang lebih besar.
Untuk konteksnya, ALPHV melakukan penipuan keluar pada awal Maret 2024 melibatkan klaim palsu tentang operasi penangkapan FBI setelah mereka mencuri pembayaran besar $22 juta dari Change Healthcare dari salah satu afiliasi mereka.
Truesec juga menemukan indikasi bahwa operasi ransomware Cicada3301 mungkin bermitra dengan atau menggunakan botnet Brutus untuk akses awal ke jaringan perusahaan. Botnet tersebut sebelumnya dikaitkan dengan brute-forcing VPN skala global aktivitas yang menargetkan peralatan Cisco, Fortinet, Palo Alto, dan SonicWall.
Perlu dicatat bahwa aktivitas Brutus pertama kali terlihat dua minggu setelah ALPHV menghentikan operasinya, jadi hubungan antara kedua kelompok tersebut masih ada dalam hal garis waktu.
Ancaman lain bagi VMware ESXi
Cicada3301 adalah operasi ransomware berbasis Rust dengan enkripsi Windows dan Linux/VMware ESXi. Sebagai bagian dari laporan Truesec, para peneliti menganalisis enkripsi VMWare ESXi Linux untuk operasi ransomware tersebut.
Menyukai Kucing Hitam dan keluarga ransomware lainnya, seperti RansomHub, kunci khusus harus dimasukkan sebagai argumen baris perintah untuk meluncurkan enkripsi. Kunci ini digunakan untuk mendekripsi blob JSON terenkripsi yang berisi konfigurasi yang akan digunakan enkripsi saat mengenkripsi perangkat.
Truesec mengatakan bahwa enkripsi memeriksa keabsahan kunci dengan menggunakannya untuk mendekripsi catatan tebusan dan, jika berhasil, melanjutkan dengan sisa operasi enkripsi.
Fungsi utamanya (linux_enc) menggunakan cipher aliran ChaCha20 untuk enkripsi file dan kemudian mengenkripsi kunci simetris yang digunakan dalam proses tersebut dengan kunci RSA. Kunci enkripsi dibuat secara acak menggunakan fungsi ‘OsRng’.
Cicada3301 menargetkan ekstensi file tertentu yang cocok dengan dokumen dan file media dan memeriksa ukurannya untuk menentukan di mana harus menerapkan enkripsi intermiten (>100MB) dan di mana harus mengenkripsi seluruh konten file (<100MB).
Saat mengenkripsi file, enkripsi akan menambahkan ekstensi tujuh karakter acak ke nama file dan membuat catatan tebusan bernama ‘RECOVER-[extension]-DATA.txt,’ seperti yang ditunjukkan di bawah ini. Perlu dicatat bahwa enkripsi BlackCat/ALPHV juga menggunakan ekstensi tujuh karakter acak dan catatan tebusan bernama ‘RECOVER-[extension]-FILES.txt.’
Sumber: BleepingComputer
Operator ransomware dapat mengatur parameter tidur untuk menunda eksekusi enkripsi, yang berpotensi menghindari deteksi langsung.
Parameter “no_vm_ss” juga memerintahkan malware untuk mengenkripsi mesin virtual VMware ESXi tanpa mencoba mematikannya terlebih dahulu.
Namun, secara default, Cicada3301 terlebih dahulu menggunakan perintah ‘esxcli’ dan ‘vim-cmd’ ESXi untuk mematikan mesin virtual dan menghapus snapshot-nya sebelum mengenkripsi data.
esxcli –formatter=csv –format-param=fields==”WorldID,DisplayName” vm process list | grep -viE ”,(),” | awk -F ”\”*,\”*” '{system(”esxcli vm process kill –type=force –world-id=”$1)}’ > /dev/null 2>&1; for i in `vim-cmd vmsvc/getallvms| awk '{print$1}’`;do vim-cmd vmsvc/snapshot.removeall $i & done > /dev/null 2>&1
Aktivitas dan tingkat keberhasilan Cicada3301 menunjukkan adanya pelaku berpengalaman yang tahu apa yang mereka lakukan, yang selanjutnya mendukung hipotesis tentang reboot ALPHV atau setidaknya memanfaatkan afiliasi dengan pengalaman ransomware sebelumnya.
Fokus ransomware baru pada lingkungan ESXi menyoroti desain strategisnya untuk memaksimalkan kerusakan di lingkungan perusahaan yang kini menjadi target banyak pelaku ancaman untuk mendapatkan keuntungan besar.
Dengan menggabungkan enkripsi file dengan kemampuan untuk mengganggu operasi VM dan menghapus opsi pemulihan, Cicada3301 memastikan serangan berdampak tinggi yang memengaruhi seluruh jaringan dan infrastruktur, memaksimalkan tekanan yang diberikan pada korban.
