Cicada3301ランサムウェアのLinux向け暗号化ツールがVMware ESXiシステムを標的に
BleepingComputer – September 1, 2024
新たなRaaSオペレーション「Cicada3301」に関する分析記事を、Truesecが公開。これによれば、今年6月の始動依頼、同RaaSはすでに世界各地の企業を攻撃し始めており、リークサイトには19の被害組織が掲載されているという。
Cicada3301はその他のランサムウェア同様、データ窃取後に暗号化を行い、リークサイトで被害者を恐喝するという二重恐喝の戦術を用いる。Truesecは、以下の事実を踏まえて同グループとALPHV/BlackCatの間には重大な重複がいくつかあると報告。Cicada3301がALPHVのリブランドであるか、あるいは元ALPHVメンバーによって作られた分派である可能性を示唆した。
- いずれのランサムウェアもRustで書かれている
- いずれも暗号化にChaCha20アルゴリズムを使用する
- いずれも似たようなVMシャットダウン/スナップショットワイプコマンドを採用している
- いずれも同一のユーザーインターフェースコマンドパラメータ、同一のファイル名名規則、および同一のランサムノート復号手法を用いる
- いずれも比較的容量の大きいファイルに対しては断続的暗号化を用いる
Cicada3301は、Windows向けとLinux/VMware ESXi向け、いずれの暗号化ツールも備える。今回のTruesecのレポートはVMWare ESXi版にフォーカスした内容となっており、主に以下のような点を報告している。
- ALPHVやRansomHubなどのランサムウェアファミリーと同様、暗号化ツールを起動するためには特殊なキーをコマンドライン引数として入力する必要がある
- このキーは、デバイスの暗号化時に用いられるコンフィグレーションを含んだJSON blobの復号のために使われる
- 暗号化ツールはこのキーを使ってランサムノートの復号を行うことでキーの正当性を確かめ、確認できれば残りの暗号化プロセスを引き続き実施する
- ファイルの暗号化にはストリーム暗号ChaCha20が使われ、その後RSAキーで対称鍵が暗号化される
- Cicada3301は特定のファイル拡張子にマッチする文書やメディアファイルを狙い、サイズを調べて100MBより大きい場合には断続的暗号化、これより小さい場合は全体の暗号化を実施する
- 暗号化したファイルのファイル名末尾には、ランダムな7文字の拡張子が追加され、「RECOVER-[拡張子]-DATA.txt」という名前のランサムノートが作成される(なお、BlackCat/ALPHVの暗号化ツールも同様にランダムかつ7文字の拡張子を使い、「RECOVER-[拡張子]-FILES.txt」というランサムノートを残す)
- デフォルトではESXiのコマンド「esxcil」および「vim-cmd」を使って仮想マシンをシャットダウンし、そのスナップショットを削除した上でデータの暗号化が行われる。一方で、シャットダウンせずに仮想マシンの暗号化を支持する「no_vm_ss」というパラメータも存在する
Cicada3301の活動内容や攻撃の成功率からは、背後に経験豊富なアクターがいる可能性が示唆されている。このことから、同ランサムウェアがALPHVのリブートであるか、少なくともランサムウェアを扱った経験のあるアフィリエイトが使われているという仮説の信憑性が増しているとのこと。