Rust, ChaCha20 и RSA: смертельное кибертрио от Cicada3301

Как хакеры-полиглоты атакуют критическую инфраструктуру на разных континентах.


jfamxd2zgmkbhj34m8982oilw6rexnzk.jpg


Исследователей в сфере кибербезопасности из Group-IB раскрыли новые детали о хакерской группировке Cicada3301, функционирующей по RaaS -модели. Специалистам удалось получить доступ к панели аффилиатов этой кибербанды в даркнете, что позволило им проанализировать все её внутренние процессы.

Group-IB установила контакт с Cicada3301 через киберфорум RAMP, воспользовавшись мессенджером Tox, после того как злоумышленники разместили объявление о наборе новых партнёров в свою программу аффилиатов.

Cicada3301 впервые была обнаружена в июне 2024 года. Исследователи обнаружили сходство исходного кода этой группы с уже неактивной группой ALPHV/BlackCat. По данным Group-IB, атаки Cicada3301 затронули уже не менее 30 организаций, преимущественно в критически важных отраслях США и Великобритании.

Вредоносное ПО группы создано на языке Rust и поддерживает несколько платформ. Оно может поражать устройства на Windows и различных дистрибутивах Linux, таких как Ubuntu, Debian, CentOS, SUSE и другие, а также системы ESXi и NAS.

Cicada3301 использует стандартные методы вымогательских атак — шифрование файлов, отключение виртуальных машин, завершение процессов, удаление теневых копий и шифрование сетевых ресурсов. Это позволяет максимально затруднить восстановление систем и увеличить давление на жертв.

Особенностью группы является аффилиатная программа, привлекающая пентестеров и брокеров доступа. За участие партнёрам предлагается 20% комиссии и доступ к веб-панели с обширными функциями. Панель включает разделы для добавления жертв, ведения переговоров и управления учётной записью аффилиата.

Для шифрования данных Cicada3301 использует комбинацию алгоритмов ChaCha20 и RSA, а также активно применяет тактику эксфильтрации данных перед их шифрованием, чтобы усилить давление на пострадавших.

По мнению экспертов, Cicada3301 стала одной из самых продвинутых угроз на современном рынке вымогательского ПО. Её подходы и инструменты делают атаки точными и разрушительными, что превращает группировку в значительную угрозу для организаций по всему миру.