Cicada3301は2024年6月以降に活動が観測されている比較的新しいRaaSグループです。
RaaSはransomware-as-a-serviceです。
すでにいくつもの被害者を発生させてしまっているRaaSなのですが、今回このCicada3301の展開するサービスの内容についての情報が研究者に公開されました。
- 募集中
Cicada3301はアフィリエイトを募集しています。
募集対象のアフィリエイトの内容は、ペンテスターとイニシャルアクセスブローカーです。
アフィリエイトとして参加し被害者からの金銭を獲得した際には総額の20%がアフィリエイトの報酬となる旨が案内されています。 - 広いサポート範囲
Cicada3301の展開するランサムウェアのバイナリは、広い範囲のOSを対象としています。
Rustで構築されたバイナリは、Windows、Linux ディストリビューション Ubuntu、Debian、CentOS、Rocky Linux、Scientific Linux、SUSE、Fedora、ESXi、NAS、PowerPC、PowerPC64、PowerPC64LEの環境を侵害可能です。
特にWindowsはWindows7以降のすべてのバージョンが対象となっています。 - 豊富な侵害内容
Cicada3301からアフィリエイトに提供されるマルウェアは、高機能です。
暗号化する範囲をファイルの全体や部分的など指定できる、指定するプロセスの停止、シャドウコピーの削除、システム復元ポイントの削除、ESXi/Hyper-VのVMを停止させてから暗号化、など多くの機能を有しています。 - 豪華なダッシュボード
Cicada3301はアフィリエイト向けにダッシュボードを提供しています。
その機能は非常に豪華です。
◆ダッシュボード
アフィリエイトによる侵害先へのログインの成功または失敗の概要と、攻撃を受けた企業の数が把握できます。
◆ニュース
Cicada3301ランサムウェアプログラムの提供物のアップデートとニュースに関する情報が掲載されます。
◆企業
被害者情報(企業名、要求される身代金の額、割引の有効期限など)を追加し、Cicada3301ランサムウェアのバイナリを作成する機能を提供します。
この際に機能をオプション選択する形式で選択することができます。設定できるのは暗号化範囲などです。
◆チャット会社
被害者とコミュニケーションをとり、交渉するためのインターフェースが機能として提供されています。
◆チャットサポート
アフィリエイトがCicada3301ランサムウェアグループの担当者とコミュニケーションを取り、問題を解決するためのインターフェースが提供されています。
◆アカウント
アフィリエイトのアカウントの管理とパスワードのリセットが実施できる機能です。
◆FAQ
「企業」セクションで被害者を作成する方法、ビルダーを構成する方法、さまざまなオペレーティングシステムでランサムウェアを実行する手順に関するルールとガイドの詳細を提供します。
アフィリエイトの労働環境は高度に練りこまれた便利なものとなっています。
アフィリエイトは細かなことに悩んでしまうことなく、侵害活動に専念できるようになっています。
Cicada3301は注意が必要なRaaSとして認識する必要があります。
Encrypted Symphony: Infiltrating the Cicada3301 Ransomware-as-a-Service Group
https://www.group-ib.com/blog/cicada3301/
| この記事をシェア |
|
|---|
