Cicada3301 という新たな Rust RaaS:VMware ESXi システムを標的にしている

A new variant of Cicada ransomware targets VMware ESXi systems

2024/09/02 SecurityAffairs — Cicada3301 は、新しい RaaS (ransomware-as-a-service) である。この脅威グループは極めて活発に動き回っており、6月中旬において、すでに 23社の被害者を恐喝ポータルにリストアップしている。Cicada 3301 は、2012〜2014年にネット上に “3301” という名前で投稿された、3組のパズルの名前に由来しているようだ。最初のパズルは、2012年1月4日に 4chan で始まり、ほぼ1カ月間も続いた。第2弾のパズルは、2013年1月4日に始まった。そして第3弾は 2014年1月4日に、 Twitter に投稿された新たなヒントの後に始まった。なお、この第3弾はまだ解かれていない。

このパズル投稿の意図は、一連のパズルを解いてもらうことで、優秀な人材をリクルートすることであったという。第4弾が投稿されるはずの 2015年1月4日に、新しいパズルは公開されなかった。ただし、このパズルのオペレーターは、Cicada3301 とは無関係のようだ。


2024年6月以降において、Cicada3301 のオペレーターは、RAMP サイバー犯罪フォーラムでアフィリエイトを募集し始めた。

Cicada3301 ランサムウェアは Rust で書かれており、Windows と Linux/ESXi の両ホストを標的としている。Truesec の研究者たちが、VMware ESXi システムを標的とする亜種を解析したが、同じマルウェアの Windows バージョンからの派生だと結論付けている。

専門家たちの指摘は、現時点において多くのランサムウェア・グループが ESXi システムを標的としているが、Rust ベースのランサムウェアを使用しているのは、活動停止中の BlackCat/ALPHV などの、わずか数グループに過ぎないというものだ。

そして分析の結果として、Cicada3301 のランサムウェアと ALPHV のランサムウェアには大きな類似性があることが判明したという。Truesec は、「Cicada3301 ランサムウェアは、ALPHV ランサムウェアと、いくつかの興味深い類似点がある」と指摘している。

  • Rust で書かれている。
  • 暗号化に ChaCha20 を使用している
  • VM のシャットダウンとスナップショットの削除に、ほぼ同じコマンドを使用している。
  • -ui コマンド・パラメーターを使用して、暗号化に関するグラフィック出力を提供している。
  • どちらもファイル名の付け方は同じだが、“RECOVER-“ransomware extension”-FILES.txt” を、“RECOVER-“ransomware extension”-DATA.txt” に変更している。
  • ランサムウェア・ノートを復号化するためのキー・パラメータの使用方法が類似している。

Cicada3301 グループによる攻撃は、ScreenConnect 経由での認証情報を用いたログインから始まるが、それらの情報が盗まれたものなのか、また、ブルートフォース攻撃で得られたものなのかは不明である。このランサムウェア・グループが使用する IP アドレスは、Brutus ボットネットにリンクされており、この2つのフループの関連性が示唆される。

また、タイムラインに関しては、BlackCat/ALPHV ランサムウェア・グループの明示的な撤退時期と一致している。したがって Cicada3301 は、ALPHV のリブランディングだという可能性がある。もしくは、開発者同士のコラボレーションがあるケースと、修正された ALPHV コードを使用する別グループのケースもあり得る。

Cicada3301 ランサムウェアは、オペレーターに対して複数の設定可能なパラメータを提供することで、攻撃中の動作にバリエーションを持たせている。それらのパラメータは、clap::args ライブラリにより管理され、以下のようなオプションを取り込んでいる:

  • sleep:指定した秒数だけ、ランサムウェアの実行を遅らせる。
  • ui:暗号化プロセスにおいて、暗号化が完了したファイルの数などの、進行状況や統計情報をリアルタイムで表示する。
  • no_vm_ss:実行中の仮想マシンのシャットダウンや、esxicli ターミナルの使用、スナップショットの削除などに触れることなく、ESXi ホスト上のファイルを暗号化する。

これらの機能により、ランサムウェアの動作方法に柔軟性が与えられ、複数のシナリオにおける効率が高められる。

Cicada3301 ランサムウェアは、OsRng 乱数生成器を使用して暗号化のための対称キーを生成する。このランサムウェアは、encrypt_file と呼ばれる関数を使用してファイルの暗号化を処理している。このプロセスでは、バイナリのデータ・セクションに保存されている公開 PGP キーが抽出され、生成された対称キーの暗号化に使用される。

そしてマルウェアは、暗号化されたファイルを取り込んだ各フォルダに、 “RECOVER-“ransomware extension”-DATA.txt” というタイトルのメモを作成する。暗号化の対象は特定のファイル拡張子であり、その大半が文書や画像に関連するものであるという。このランサムウェアは、Windows システムをターゲットに設計された後に、ESXi ホスト用に調整されたものだと考えられる。

Truesec は、「Cicada3301 は、暗号化を処理した後に、提供された RSA キーで ChaCha20 キーを暗号化し、最終的に、暗号化したファイルに拡張子を書き込んでいる。このファイル拡張子は、RSA 暗号化された ChaCha20キーと一緒に、暗号化されたファイルの末尾に追加される」とレポートを締め括っている。

Cicada3301 という RaaS が暴れ回っているようです。BlackCat/ALPHV ランサムウェア・グループとの類似性も見られるようであり、完成度の高いプラットフォームを提供しているのだろうと推測されます。また、Rust で書かれているようですが、このブログ内を Rust + RaaS で検索したところ、いくつかの記事が見つかりました。よろしければ、ご参照ください。