In einer alarmierenden Entdeckung haben IT-Sicherheitsforscher eine neue Ransomware-Gruppe mit dem Namen Cicada3301 identifiziert, die Berichten zufolge eine spezialisierte Technik verfolgt, indem sie gezielt Windows- und Linux-ESXi-Server angreift. Diese Gruppe operiert als Ransomware-as-a-Service-Anbieter, was bedeutet, dass sie ihre kriminellen Werkzeuge und Dienstleistungen für andere kriminelle Akteure bereitstellt.
Die Cyberlangage von Cicada3301 wurde erstmals im Juni 2024 von den Analysten von Truesec bemerkt. In ihrer detaillierten Untersuchung stellten sie fest, dass die Gang über eine eigene Ransomware sowie eine Webseite für Datenlecks verfügt. Überraschenderweise war die Gruppe seit dem 29. Juni aktiv und hat ihr Forum genutzt, um weitere Affiliates zu gewinnen.
Technische Raffinesse der Ransomware
Die Ransomware, die von Cicada3301 genutzt wird, ist in Rust programmiert, einer modernen Programmiersprache, die für ihre Leistung und Sicherheit bekannt ist. Dies ermöglicht der Gruppe, extrem zielgerichtete Angriffe auf Betreiber von Linux- und Windows-ESXi-Hosts durchzuführen. Truesec merkt an, dass diese spezielle Fokussierung auf ESXi-Server ein Anzeichen für eine tiefere Expertise ist, die nur einige wenige Ransomware-Gruppen aufweisen können. Die Forscher stellen auch fest, dass der Code signifikante Ähnlichkeiten mit der nicht mehr aktiven Gruppe AlphV/Blackcat aufweist, was zusätzliche Spekulationen über mögliche Verbindungen aufwirft.
Ein entscheidender Punkt in der Analyse war, dass die Ransomware von Cicada3301 die ChaCha20-Verschlüsselungstechnik verwendet, ebenso wie es beim Code von AlphV der Fall war. Die Forscher berichten, dass sowohl die Befehle zum Herunterfahren von virtuellen Maschinen als auch die für das Entfernen von Snapshots nahezu identisch sind. Dies deutet auf eine gewisse Verwandschaft zwischen den beiden Gruppen hin.
Im konkret untersuchten Fall nutzten die Hacker gültige Login-Daten für ScreenConnect, um in das System einzudringen. Die IT-Sicherheitsforscher konnten die IP-Adresse der Angreifer zu einem Botnet mit dem Namen „Brutus“ zurückverfolgen. Dieses Botnet steht im Zusammenhang mit einem umfangreichen Credential-Stuffing-Angriff, der auf verschiedene VPN-Programme, also virtuelle private Netzwerke, abzielt.
Truesec vermutet, dass die Hacker ihre Zugangsdaten nicht verkauft haben, sondern dass sie über eine direkte Verbindung oder möglicherweise sogar über eigene Versuche, die Brutus-Botnet-Aktivitäten selbst zu leiten, einander bekannt waren. Solche Zusammenhänge sind nicht ungewöhnlich in der Cyberkriminalität und ermöglichen den Kriminellen, ihre Angriffe auf effektive Weise zu koordinieren.
Ein weiterer interessanter Aspekt ist die Frage, wie Cicada3301 Zugang zu dem Code der AlphV-Ransomware erlangt hat. Truesec spekuliert, dass die neue Gruppe möglicherweise eine Zusammenarbeit mit ehemaligen Mitgliedern der AlphV-Bande eingegangen ist, die in der Vergangenheit für verschiedene Ransomware-Gruppen gearbeitet haben. Eine andere Möglichkeit ist, dass der Code von AlphV, der nach der Ankündigung des Endes der Gruppe zum Verkauf für 5 Millionen US-Dollar angeboten wurde, genutzt wurde. Jede dieser Hypothesen deutet auf die Komplexität und den dynamischen Charakter der Ransomware-Landschaft hin.
Obwohl die Cicada3301-Ransomware gewisse Fortschritte aufweist, wird sie nicht als so fortschrittlich angesehen wie die vorhergehenden Angebote von AlphV. Die Forscher der Truesec haben technische Details zu Cicada3301 dokumentiert, einschließlich einer YARA-Regel zur Erkennung der spezifischen Ransomware, die den Sicherheitsdiensten helfen könnte, künftige Angriffe zu verhindern.
Der Name Cicada3301 bezieht sich auf eine berühmte Internet-Rätseljagd, die seit 2012 für Aufsehen sorgte und viele Menschen angezogen hat. Die Rätsel haben zahlreiche Verschwörungstheorien inspiriert und trugen zur Popularität des Begriffs bei, was schließlich zu einem eher mäßigen Spielfilm namens „Dark Web: Cicada 3301“ im Jahr 2021 führte. Indem die kriminelle Gruppe sich auf diesem Weg einen Namen macht, rufen sie nicht nur Besorgnis, sondern auch neugierige Blicke und Spekulationen in der Cyberwelt hervor.
(dmk)
