Neue Ransomware zielt auf ESXi-Server

Die neue Ransomware-Gruppe Cicada3301 weist Ähnlichkeiten zur AlphV-Bande auf.

Truesec

Forscher von Trusec sind kürzlich auf eine neue Ransomware-as-a-Service-Gruppe mit dem Namen Cicada3301 gestoßen. Die Bande bietet ihren Partnern eine Plattform für zweifache Erpressung, die sowohl eine Ransomware- als auch eine Datenleck-Seite umfasst. Laut Forschungsbericht ist sie erstmals im Juni 2024 in Erscheinung getreten und hat sich auf Windows- und Linux-ESXi-Hosts spezialisiert.

Ähnlichkeiten zu AlphV

In ihrer Analyse stellten die Sicherheitsforscher fest, dass die Gruppe Ähnlichkeiten zur inzwischen nicht mehr aktiven Cybergang AlphV (auch bekannt als BlackCat) aufweist: “Bei beiden ist die Ransomware in Rust geschrieben, beide nutzen ChaCha20 zur Verschlüsselung. Zudem sind die Befehle zum Herunterfahren von VMs und Entfernen von Snapshots nahezu identisch und beide nutzen einen -ui-Parameter zur Ausgabe einer Grafik bei der Verschlüsselung.”

Bei dem von den Forschern untersuchten Angriff haben die Hacker gültige Log-in-Daten für ScreenConnect für den initialen Einbruch verwendet. Die IP-Adresse der Kriminellen ließ sich dabei auf ein Botnet namens “Brutus” zurückführen. Brutus steht dem Bericht zufolge in Zusammenhang mit einer größeren Credential-Stuffing-Kampagne auf diverse VPN-Programme, einschließlich ScreenConnect.