Le nouveau groupe de hackers, Cicada3301 cible ESXI/Linux et Windows

Table des matières

VMware a dû sécuriser davantage ses hyperviseurs ESXi. La raison est que ces derniers sont devenus les nouvelles cibles de plusieurs cybercriminels, surtout le Cicada3301. Ce nouveau groupe de hackers, utilisant des techniques similaires à ALPHV, a été identifié en juin 2024. TrueSec suggère qu’une vulnérabilité dans ScreenConnect aurait servi de porte d’entrée à Cicada3301.

À l’instar d’autres rançongiciels, Cicada3301 recourt à une méthode de double chantage en s’introduisant dans les systèmes informatiques des entreprises. Il dérobe des données, puis paralyse les réseaux en les chiffrant. Ce ransomware extorque les victimes en promettant de divulguer les données volées si la rançon n’est pas versée.

Il semble être associé au Brutus (Botnet), activé en mars dernier, après l’arrêt de BlackCat/ALPHV, un groupe de hackers ciblant SonicWall, Fortinet, etc. Truesec, spécialisée en cybersécurité, suggère un lien entre ces événements et une possible évolution du groupe BlackCat en Cicada3301. Le groupe aurait utilisé ou créé le botnet Brutus pour cibler de nouvelles victimes avec Cicada3301.

Truesec détaille les fonctionnalités de Cicada3301

Cicada3301 repose sur un programme exécutable central nommé linux_enc, sachant qu’un délai peut être défini avant le chiffrement des données grâce au réglage sleep.

Grâce à son interface graphique, chacun peut visualiser en temps réel les fichiers touchés par le chiffrement. Un décompte précis du nombre total d’informations et des fichiers chiffrés avec succès est aussi présenté. D’ailleurs, les frais professionnels liés à la cybersécurité peuvent sembler élevés, mais ils sont un investissement indispensable pour éviter des pertes financières.

Selon Truesec, si l’option « no_vm_ss » est sélectionnée, le ransomware chiffrera les fichiers sans interrompre le fonctionnement des machines virtuelles d’ESXi. Pour y parvenir, le ransomware emploie esxicli pour effacer les snapshots.

Il génère une clé ChaCha20 à l’aide d’OsRng pour chiffrer les fichiers. Cette clé est elle-même chiffrée avec une clé RSA qui est ajoutée aux fichiers. L’extension de ceux-ci est modifiée pour signaler leur état crypté.

L’entreprise spécialisée dans la cybersécurité précise d’ailleurs :

« L’extension du fichier est également ajoutée à la fin du fichier crypté, ainsi que la clé ChaCha20 cryptée par RSA ».

Truesec a identifié une faille dans le système de connexion à distance ScreenConnect, celle-ci étant le point d’entrée initial des attaques de Cicada3301. Les attaquants ont exploité cette vulnérabilité en utilisant des identifiants compromis ou obtenus par des méthodes de force brute.

Les pirates s’intéressent de près aux superviseurs ESXi

Cicada3301 s’attaque aux systèmes Windows et Linux/ESXi. La multiplication des attaques de ransomwares, notamment celles proposées en tant que service (RaaS), a contraint VMware à renforcer la sécurité de ses hyperviseurs ESXi. Ces derniers sont devenus une cible de choix pour les cybercriminels tels que :

  • Rorschach ;
  • MichaelKors ;
  • ALPHV/BlackCat ;
  • Defray ;
  • LockBit ;
  • Nevada ;
  • ESXiArgs ;

Les entreprises doivent être conscientes que les attaques de ransomware engendrent des frais professionnels conséquents liés à la récupération des données.

La menace cybernétique s’est accrue avec l’arrivée de Cicada3301, un nouveau groupe de pirates informatiques identifié en juin 2024. Il a déjà compromis une vingtaine de systèmes, recrute des affiliés et propose des services de ransomware.

Truesec souligne les nombreuses similitudes entre ALPHV et Cicada3301. Il a révélé que les deux ransomwares sont codés en Rust et emploient ChaCha20. Les deux ransomwares partagent des fonctionnalités similaires pour supprimer les sauvegardes. Ils utilisent la même interface graphique et convention de nommage de fichiers (Recover Data.txt ou Recover Files.txt).

L’entreprise experte en cybersécurité a apporté des précisions importantes sur cette similitude :

« Il est également possible qu’un autre groupe de cybercriminels a obtenu le code d’ALPHV et l’a modifié pour répondre à ses besoins. Lorsque BlackCat a mis fin à ses activités, il a déclaré que le code source de son ransomware était à vendre pour 5 M$ ».

Il convient de souligner que, contrairement à ALPHV, Cicada3301 semble moins sophistiqué, d’après Truesec. Les créateurs peuvent décider de faire l’ajout de nouvelles fonctionnalités, notamment pour renforcer l’obfuscation du code.

Cet article vous a-t-il été utile ?

Note moyenne 0 / 5. Votants: 0

Retrouvez ici les dernières actualités