이상하게 친숙한 Cicada3301 랜섬웨어에 취약한 Windows 및 Linux

Cicada3301이라는 비교적 새로운 랜섬웨어를 사이버 보안 연구자들이 자세히 분석한 결과, 최근 과거의 악명 높은 공격에 대한 놀라운 콜백이 밝혀졌습니다. Cicada3301은 Linux 기반 및 Windows 시스템을 대상으로 할 수 있습니다.

이 새로운 악성 코드는 2021년 Colonial Pipeline 공격에 사용된 랜섬웨어인 BlackCat과 유사합니다. 독특한 점은 Cicada3301이 피해자가 돈을 지불하도록 하기 위해 두 가지 접근 방식을 사용한다는 것입니다. 파일은 암호화될 뿐만 아니라 결제가 이루어지지 않으면 파일이 패키징되어 유출됩니다.

Cicada3301은 2024년 6월, 제작자가 설정한 전용 사이트에 피해자 데이터가 최초로 유출되면서 처음 발견되었습니다. 그들은 나중에 제휴사를 모집할 목적으로 RAMP라는 러시아 다크 웹 포럼에 참여했습니다. 그들은 Cicada3301을 서비스로 제공하여 특정 대상을 가격으로 공격하도록 제안했습니다. 서비스형 랜섬웨어(ransomware-as-a-service)라고 불리는 이 모델은 최근 몇 년간 악의적인 행위자들 사이에서 인기를 얻었습니다.

피해자는 Cicada3301에 내장된 영리한 전술 조합 덕분에 랜섬웨어 공격을 저지하는 데 사용되는 기존 노력으로부터 자신의 시스템이 거의 면역된다는 사실을 알게 될 것입니다. 대신 파일이 유출되지 않도록 저장하라는 지침을 제공하는 단일 텍스트 파일이 표시됩니다. 텍스트 파일에 따르면, 이 공격의 배후 그룹에는 향후 유사한 공격을 방지하기 위해 피해자의 보안을 강화하겠다는 제안과 피해자가 비용을 지불하기로 선택한 경우 지속적인 지원이 포함되어 있습니다.

2021년 공격 배후 그룹이 활용한 웹사이트와 리소스는 결국 미국 당국에 의해 압수되었습니다. 그룹은 활동을 중단한 것으로 알려져 있지만 Cicada3301은 BlackCat 및 리브랜딩인 ALHPV와 유사점이 많습니다.

Cicada3301은 Rust 프로그래밍 언어로 작성되어 다재다능하고 효율적이며 확장 가능하지만 이는 단순히 BlackCat이 확립한 추세를 따른다고 볼 수 있습니다. 그 공격이 있기 전까지 Rust로 작성된 랜섬웨어는 극히 드물었고 웹 전반에 걸쳐 화이트 해커가 보여주는 단순한 개념 증명이 아닌 경우가 많았습니다.

Cicada3301은 동일한 프로그래밍 언어와 일반적인 공격 구조를 사용하는 것 외에도 유사한 복호화 방법을 사용하며, 새로운 악성 코드에 작성된 많은 명령은 BlackCat에서 발견되는 함수 호출과 완전히 동일합니다. 두 공격 모두 사용 가능한 수단(종종 사회 공학)을 통해 합법적인 사용자 자격 증명을 획득하고 대상 시스템에 액세스하는 데 사용됩니다.

이후 두 공격 모두 거의 동일한 호출을 사용하여 집으로 전화 걸기, 파일 암호화 및 암호 해독, 메시지 표시 등의 작업을 수행합니다. 그러나 Cicada3301에는 몇 가지 새로운 기능이 있습니다. 그 중 가장 중요한 기능은 가상 머신을 포함한 외부 머신이 암호화된 파일 및 시스템에 액세스하는 것을 차단하는 기능입니다.

2024년 9월 기준으로 Cicada3301과 연결된 모든 리소스는 아직 살아있는 것으로 보이며, 이와 관련된 악의적인 행위자가 사임하거나 체포되었다는 보고는 없습니다. 새로운 랜섬웨어는 BlackCat 공격으로 인해 한 명 이상의 팀원이 생성되었거나, BlackCat이 어두워지기 전에 BlackCat의 코드 대부분을 복사한 라이벌 그룹일 가능성이 있습니다.

위 내용은 이상하게 친숙한 Cicada3301 랜섬웨어에 취약한 Windows 및 Linux의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!