Атака на Windows і Linux: новий вірус Cicada3301 у дії
Експерти з кібербезпеки ідентифікували новий шкідливий вірус під назвою Cicada3301, здатний атакувати операційні системи Windows та Linux. Цей вірус з’явився у червні 2024 року, має схожі риси з BlackCat, який використовували під час кібернападу на Colonial Pipeline у 2021 році.
Що таке BlackCat?
Група BlackCat, яку також називають ALPHV або ALPHV-ng, з’явилася в листопаді 2021 року та діє за моделлю «програма-вимагач як послуга» (Ransomware-as-a-Service, RaaS).
Програма-вимагач — це шкідливе програмне забезпечення, яке блокує пристрій або шифрує його вміст, вимагаючи гроші у жертв. За певну плату оператори шкідливого коду обіцяють відновити доступ до інфікованої машини або даних.
Що відомо?
Cicada3301 не тільки шифрує файли, а й викрадає їх, якщо не отримує платіж. Розроблений на мові Rust, він відзначається високою ефективністю та адаптивністю. Вірус блокує доступ до даних і намагається викрасти конфіденційну інформацію через різноманітні шахрайські методи.
Програмне забезпечення-вимагач Cicada3301 спрямоване переважно на малі та середні підприємства.
Cicada3301 також може націлюватися на віртуальні машини (VM), вимикаючи служби резервного копіювання та відновлення та жорстко закодовані списки процесів. Крім того, Cicada3301 націлений на 35 розширень файлів: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png, raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm і txt.
Аналіз версії ESXi Cicada3301 виявив, що він може використовувати періодичне шифрування для шифрування файлів розміром понад 100 МБ і використовувати параметр під назвою «no_vm_ss», не вимикаючи віртуальні машини, запущені на його хост-машині.
Після появи на темному вебфорумі, творці Cicada3301 почали пропонувати свої хакерські послуги для виконання атак на замовлення. Станом на вересень 2024 року, активність цієї групи залишається високою, а інформації про затримання зловмисників поки немає.
Поява Cicada3301 також спонукала однойменну організацію, яка займається публікує головоломки в Інтернеті, опублікувати заяву про те, що вона не має нічого спільного до схеми програм-вимагачів.
Практичні поради щодо зменшення ризику «зараження»:
- Регулярне оновлення операційної системи та програмного забезпечення.
- Використання надійних антивірусних програм і брандмауерів.
- Відключення непотрібних служб і портів.
- Створення регулярних резервних копій критичних файлів і баз даних.
- Проведення регулярних навчальних програм щодо того, як уникнути атак програм-вимагачів та інших форм фішингу та атак зловмисного програмного забезпечення.
- Регулярні системи зберігання резервних копій за межами підприємства.
- Регулярне навчання персоналу тому, як розпізнавати такі типи атак.