Cicada3301勒索病毒服务团体的附属项目被GroupIB研究人员入侵,他们在周四发布的报告中详细介绍了该团体的附属面板和勒索病毒变种。Cicada3301于2024年6月底首次开始招募合作伙伴,自那时以来已导致至少30个受害者,主要集中在美国和英国。该团体因其勒索病毒与已关闭的ALPHV/BlackCat勒索病毒团体之间的多个相似性而受到广泛关注。
尽管目前还不清楚Cicada3301是否是ALPHV/BlackCat的重新品牌,或是否在其代码出售时购买了源代码,GroupIB的报告也提到,“非常强的相似性”与关键差异,包括命令行选项大幅减少、访问密钥使用的不同、没有嵌入式配置以及赎金通知命名规则的轻微差异。
小牛npv加速器Cicada3301附属面板的Web界面只能通过Tor访问,主要附属仪表板显示成功和失败的登录尝试概览、指纹详细信息,以及附属合作伙伴所针对公司的图表,GroupIB透露。仪表板侧边栏提供对其他部分的访问,包括新闻、公司、聊天公司和支持聊天。
新闻部分包含Cicada3301勒索病毒的发布说明及其他关于该团体及其附属计划的更新,展示了2024年6月13日的大量漏洞修复和功能优化、2024年6月15日为附属合作伙伴提供上传被窃数据的新文件服务器以及2024年6月18日引入的呼叫中心。
公司部分则是附属合作伙伴能够开始规划、记录和组织针对受害公司攻击的地方,使用“创建公司”功能可以添加受害者的名称、赎金要求、折扣价格和折扣到期时间,然后通过自定义勒索病毒样本和勒索通知进一步组织攻击。
附属合作伙伴能够配置每次攻击中使用的勒索病毒,改变加密类型“快速”、“完整”和“自动”加密方式、创建受害者登陆页面的类型包含加密和数据泄漏,或仅数据泄漏、特定的虚拟机排除以及用于冒充和访问的Windows凭据。
聊天公司部分则开设了与受害者交流以协商赎金支付的界面,而聊天支持部分则为与Cicada3301代表进行支持问题的交流提供了一个单独的界面。附属合作伙伴还可以通过上述呼叫中心服务请求与受害者进行电话联系。
仪表板还包括一个账户部分,附属合作伙伴可以在此重置访问附属面板所用的密码,FAQ部分则提供有关Cicada3301勒索病毒及其附属计划的更多信息。
该勒索病毒是用Rust编写的,使用ChaCha20和RSA进行加密,支持从Windows 7 开始的Windows系统、Linux、ESXi、NAS和PowerPC系统。GroupIB指出,PowerPC版本非常独特,因为PowerPC是较旧的计算机基础设施,现代系统中很少使用,主要集中在较旧的Mac计算机和其他特定的遗留系统。
Cicada3301利用50个线程的线程池高效且并行加密大量文件,并采取多种措施来逃避检测和抑制恢复,例如禁用安全进程和虚拟机,并删除影像备份和恢复点。
GroupIB的调查发现附属合作伙伴的佣金率为赎金支付金额的20,Cicada3301还禁止攻击独联体国家CIS,包括俄罗斯、
