Windows et Linux vulnérables au ransomware Cicada3301, étrangement familier

Un ransomware relativement récent, appelé Cicada3301, a été analysé en détail par des chercheurs en cybersécurité, et les résultats révèlent des rappels surprenants d'attaques tristement célèbres du passé récent. Cicada3301 est capable de cibler les systèmes Linux et Windows.

Ce nouveau logiciel malveillant ressemble à BlackCat, le ransomware utilisé dans l'attaque de 2021 contre le Colonial Pipeline. La particularité de Cicada3301 est qu'il utilise une double approche pour inciter les victimes à payer : non seulement les fichiers sont cryptés, mais ils sont également emballés et divulgués si le paiement n'est pas effectué.

Cicada3301 a été repéré pour la première fois en juin 2024, lorsque la première fuite de données d'une victime est apparue sur le site dédié mis en place par ses créateurs. Ces derniers se sont ensuite rendus sur un forum russe du dark web appelé RAMP dans le but de solliciter des affiliés. Ils ont proposé Cicada3301 en tant que service, offrant d'attaquer des cibles sélectionnées pour un certain prix. Ce modèle, appelé "ransomware-as-a-service", a gagné en popularité parmi les acteurs malveillants ces dernières années.

Les victimes verront leurs systèmes largement immunisés contre les efforts traditionnels déployés pour endiguer les attaques de ransomware grâce à un savant mélange de tactiques intégrées à Cicada3301. Au lieu de cela, elles seront accueillies par un fichier texte unique proposant des instructions pour empêcher la fuite de leurs fichiers. Selon le fichier texte, le groupe à l'origine de cette attaque propose de renforcer la sécurité des victimes afin d'éviter des attaques similaires à l'avenir, ainsi qu'une assistance continue, si la victime décide de payer.

Le site web et les ressources utilisés par le groupe à l'origine de l'attaque de 2021 ont finalement été saisis par les autorités américaines. On pense que le groupe a cessé ses activités, mais les similitudes entre Cicada3301 et BlackCat et son nouveau nom, ALHPV, sont nombreuses.

Cicada3301 est écrit dans le langage de programmation Rust, ce qui le rend polyvalent, efficace et extensible, mais on pourrait considérer qu'il ne fait que suivre la tendance établie par BlackCat ; jusqu'à cette attaque, les ransomwares écrits en Rust étaient extrêmement rares, et n'étaient le plus souvent qu'une simple preuve de concept montrée par des hackers "white hat" à travers le web.

En plus d'utiliser le même langage de programmation et la même structure générale d'attaque, Cicada3301 utilise des méthodes de décryptage similaires, et de nombreuses commandes écrites dans le nouveau logiciel malveillant sont exactement les mêmes que les appels de fonction trouvés dans BlackCat. Dans les deux attaques, des informations d'identification légitimes sont obtenues par tous les moyens disponibles, souvent par ingénierie sociale, et utilisées pour accéder au système cible.

À partir de là, les deux attaques utilisent des appels presque identiques pour effectuer des opérations telles que téléphoner à la maison, chiffrer et déchiffrer des fichiers, afficher des messages, etc. Cicada3301 est cependant doté de quelques nouvelles astuces. La principale d'entre elles est la capacité d'empêcher les machines extérieures, y compris les machines virtuelles, d'accéder aux fichiers et aux systèmes cryptés.

En septembre 2024, toutes les ressources liées à Cicada3301 sont apparemment toujours actives, et aucun acteur malveillant lié à ce virus n'a été signalé comme ayant démissionné ou ayant été appréhendé. Il est possible que ce nouveau ransomware soit la création d'un ou plusieurs membres de l'équipe des attaques BlackCat, ou d'un groupe rival qui a copié une grande partie du code de BlackCat avant qu'il ne disparaisse.