Cicada3301はRaaSとして展開されているランサムウェアの名前です。
ここのところ活動が活発化しています。
- 狙いの組織
ターゲットとなる組織が制限されているわけではないと思われますが、中小企業が被害にあっているケースが多いことが確認されています。 - 入口
攻撃の始まりの部分は脆弱性の悪用です。 - 狙いのOS
今回確認されているCicada3301は、WindowsとLinuxをターゲットとしています。
つい先日、Cicada3301はESXiをターゲットとした活動を展開していることが観測されていますので、拡張が進んでいるということなのかもしれません。 - 認証情報の埋め込み
いろいろなマルウェアにはそれぞれ特徴がありますが、このランサムウェアにも特徴があります。
このマルウェアは、その被害者の認証情報が埋め込まれた状態で活動することが確認されています。
悪意ある活動の中でよく利用されるツールであるPsExecがありますが、このプロセスが認証情報を持った状態で動作します。
PsExecは1台または複数のリモートコンピューター上で任意のプロセスを実行することができるものとなっていますので、ここに現地で有効な資格情報を持たせることの有効性は計り知れません。 - Rust製
Cicada3301はRustで記述されています。
Rustはその言語体系のなかに優れた難読化の機構を持っています。
新しいコンピュータ言語で仕組みを作りやすいということもありますが、この組み込まれた難読化の機構の有効性の高さも、一般の開発者だけでなく、脅威アクターをも引き付けてしまうRustの特徴といえそうです。
Cicada3301は、暗号化にChaCha20を使用し、ファイルを暗号化するためにfsutilを使用し、IISサービスを停止して、変更や削除のためにロックされる可能性のあるファイルを暗号化するためにIISReset.exeを使用します。
そしてさらに、シャドウコピーを削除し、bcdeditユーティリティを操作してシステム回復を無効にし、大量のトラフィックをサポートするためにMaxMpxCt値を増やし、wevtutilユーティリティを使用してイベントログをクリアします。
これらの動きは他の脅威アクターであるBlackCatとの類似性が高い部分です。
はたして、これらは模倣なのかスピンアウトなのかリブランドなのか、それはわかりません。
しかし、いずれにしろ、また注意の必要な脅威アクターが大きく活動を展開しているということを認識する必要がありそうです。
Decoding the Puzzle: Cicada3301 Ransomware Threat Analysis
https://blog.morphisec.com/cicada3301-ransomware-threat-analysis
| この記事をシェア |
|
|---|
表紙.png)
