В мире кибербезопасности появилась новая угроза — группа вымогателей, использующая название известной организации Cicada 3301. Эта группа представляет собой сервис «ransomware-as-a-service» (RaaS) и уже заявила о 19 жертвах на своем сайте в даркнете. Давайте разберемся, что известно об этой новой угрозе и какие меры защиты следует предпринять.
Происхождение и связь с оригинальной Cicada 3301
Важно отметить, что новая группа вымогателей не имеет никакого отношения к оригинальной организации Cicada 3301, известной своими сложными головоломками и загадками в начале 2010-х годов. Представители настоящей Cicada 3301 выпустили официальное заявление, в котором категорически отрицают любую связь с преступниками и осуждают их действия.
Тактика и методы атак
По данным исследователей из компании Truesec, Cicada 3301 использует тактику двойного вымогательства. Этот метод включает в себя следующие этапы:
- Проникновение в корпоративные сети
- Кража конфиденциальных данных
- Шифрование устройств организации
- Использование украденных данных и ключей шифрования как рычага давления на жертву
Анализ Linux-версии шифровальщика для VMWare ESXi показал, что вредоносное ПО Cicada 3301 имеет явные сходства с малварью недавно закрывшейся группировки ALPHV (BlackCat). Это позволяет предположить, что новая угроза может быть «ребрендингом» или форком, созданным бывшими членами ALPHV.
Сотрудничество с ботнетом Brutus
Эксперты Truesec также обнаружили признаки возможного сотрудничества вымогателей с ботнетом Brutus. Этот ботнет ранее был связан с масштабными атаками методом перебора (брутфорс) на VPN-устройства таких производителей, как Cisco, Fortinet, Palo Alto и SonicWall. Использование мощностей Brutus может обеспечивать группе Cicada 3301 первоначальный доступ к корпоративным сетям.
Оценка угрозы и потенциальные последствия
Эффективность и сложность операций Cicada 3301 указывают на то, что за этой группой стоят опытные киберпреступники. Ориентация на виртуальные машины ESXi подчеркивает намерение нанести максимальный ущерб корпоративным средам, которые часто становятся основной целью для получения крупных выкупов.
Появление новой группы вымогателей Cicada 3301 подчеркивает постоянно растущую угрозу ransomware для организаций по всему миру. Важно, чтобы компании усилили свои меры кибербезопасности, регулярно обновляли системы защиты и проводили обучение сотрудников по вопросам информационной безопасности. Только комплексный подход к кибербезопасности может помочь минимизировать риски и защитить критически важные данные от современных киберугроз.