Sekeping perisian tebusan yang agak baharu, dipanggil Cicada3301, telah dianalisis secara terperinci oleh penyelidik keselamatan siber, dan penemuan itu mendedahkan panggilan balik yang mengejutkan kepada serangan yang terkenal dari masa lalu. Cicada3301 mampu menyasarkan sistem berasaskan Linux dan Windows.
Malware baharu ini mempunyai persamaan dengan BlackCat, perisian tebusan yang digunakan dalam serangan 2021 ke atas Talian Paip Kolonial. Faktor uniknya ialah Cicada3301 menggunakan pendekatan serampang dua mata untuk membuat mangsa membayar; bukan sahaja fail disulitkan, ia juga dibungkus dan bocor jika pembayaran tidak dibuat.
Cicada3301 pertama kali dikesan pada Jun 2024, apabila kebocoran pertama data mangsa muncul di tapak khusus yang disediakan oleh penciptanya. Mereka kemudiannya pergi ke forum web gelap Rusia yang dipanggil RAMP dengan tujuan untuk mendapatkan ahli gabungan. Mereka menawarkan Cicada3301 sebagai perkhidmatan, menawarkan untuk menyerang sasaran terpilih dengan harga. Model ini, yang dipanggil ransomware-as-a-service, telah mendapat populariti di kalangan pelakon jahat sejak beberapa tahun kebelakangan ini.
Mangsa akan mendapati sistem mereka sebahagian besarnya kebal terhadap usaha tradisional yang digunakan untuk membendung serangan perisian tebusan terima kasih kepada gabungan taktik pintar yang terbina dalam Cicada3301. Mereka sebaliknya akan disambut oleh fail teks tunggal yang menawarkan arahan untuk menyimpan fail mereka daripada dibocorkan. Menurut fail teks, kumpulan di sebalik serangan ini termasuk tawaran untuk mengetatkan keselamatan mangsa bagi mengelakkan serangan serupa pada masa hadapan, serta sokongan berterusan, sekiranya mangsa memilih untuk membayar.
Tapak web dan sumber yang digunakan oleh kumpulan di sebalik serangan 2021 akhirnya dirampas oleh pihak berkuasa AS. Adalah dipercayai bahawa kumpulan itu telah menghentikan aktiviti, tetapi persamaan yang dimiliki Cicada3301 dengan BlackCat dan penjenamaan semulanya, ALHPV, adalah banyak.
Cicada3301 ditulis dalam bahasa pengaturcaraan Rust, menjadikannya serba boleh, cekap dan boleh diperluaskan, tetapi ini boleh diketepikan sebagai hanya mengikut trend yang ditetapkan oleh BlackCat; sehingga serangan itu, perisian tebusan yang ditulis dalam Rust adalah sangat luar biasa, dan lebih kerap daripada bukan sekadar bukti konsep yang ditunjukkan oleh penggodam topi putih di seluruh web.
Selain menggunakan bahasa pengaturcaraan dan struktur serangan umum yang sama, Cicada3301 menggunakan kaedah penyahsulitan yang serupa, dan banyak arahan yang ditulis ke dalam perisian hasad baharu adalah betul-betul sama seperti panggilan fungsi yang terdapat dalam BlackCat. Dalam kedua-dua serangan, kelayakan pengguna yang sah diperolehi melalui sebarang cara yang ada, selalunya kejuruteraan sosial, dan digunakan untuk mendapatkan akses kepada sistem sasaran.
Dari situ, kedua-dua serangan menggunakan panggilan yang hampir sama untuk melakukan perkara seperti rumah telefon, menyulitkan dan menyahsulit fail, memaparkan mesej dan banyak lagi. Cicada3301, bagaimanapun, datang dengan beberapa helah baharu. Antaranya ialah keupayaan untuk menghentikan mesin luar, termasuk mesin maya, daripada mengakses fail dan sistem yang disulitkan.
Sehingga September 2024, semua sumber yang dipautkan kepada Cicada3301 nampaknya masih disiarkan, dan tiada laporan mengenai mana-mana pelakon jahat yang berkaitan dengannya meletak jawatan atau ditahan. Ada kemungkinan bahawa perisian tebusan baharu ialah penciptaan satu atau lebih ahli pasukan daripada serangan BlackCat, atau kumpulan saingan yang menyalin banyak kod BlackCat sebelum ia menjadi gelap.
Atas ialah kandungan terperinci Windows dan Linux terdedah kepada perisian tebusan Cicada3301 yang aneh. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!