Gần đây, các nhà nghiên cứu an ninh mạng đã khám phá ra một biến thể ransomware mới mang tên Cicada3301, có những điểm tương đồng đáng chú ý với chiến dịch BlackCat (hay còn gọi là ALPHV) vốn đã bị ngừng hoạt động. Trong một báo cáo kỹ thuật, công ty an ninh mạng Morphisec đã công bố các chi tiết liên quan đến cách hoạt động của biến thể ransomware này.
Mục tiêu và phương thức tấn công
Cicada3301 chủ yếu nhắm đến các doanh nghiệp vừa và nhỏ (SMB), tấn công theo cách cơ hội bằng cách khai thác các lỗ hổng bảo mật làm phương thức truy cập ban đầu. Ransomware này được viết bằng ngôn ngữ Rust và có khả năng nhắm mục tiêu cả các hệ thống Windows và Linux/ESXi. Lần đầu tiên, Cicada3301 xuất hiện vào tháng 6 năm 2024, mời gọi các đối tác tiềm năng tham gia nền tảng Ransomware-as-a-Service (RaaS) của họ thông qua quảng cáo trên diễn đàn ngầm RAMP.
Điểm đáng chú ý của ransomware này là tích hợp sẵn các thông tin xác thực bị đánh cắp từ người dùng, cho phép chạy công cụ hợp pháp PsExec để thực hiện các chương trình từ xa. Điều này tăng khả năng tấn công trên diện rộng và đẩy mạnh việc kiểm soát hệ thống của nạn nhân.
Điểm tương đồng với BlackCat
Cicada3301 có nhiều điểm tương đồng với BlackCat, từ việc sử dụng thuật toán mã hóa ChaCha20, công cụ fsutil để xử lý các tệp liên kết biểu tượng và mã hóa tệp bị chuyển hướng, cho đến việc sử dụng IISReset.exe để dừng dịch vụ IIS và mã hóa các tệp không thể sửa đổi hoặc xóa bỏ.
Bên cạnh đó, các kỹ thuật quen thuộc từ BlackCat như xóa các bản sao lưu shadow, vô hiệu hóa chức năng khôi phục hệ thống bằng cách thao tác tiện ích bcdedit, hay xóa tất cả các nhật ký sự kiện bằng wevtutil cũng được sử dụng lại trong Cicada3301.
Phương pháp tinh vi và đa dạng trong tấn công
Không chỉ tấn công các hệ thống tệp thông thường, Cicada3301 còn có khả năng ngừng các máy ảo cục bộ, một hành vi từng được sử dụng bởi ransomware Megazord và Yanluowang. Ransomware này còn chấm dứt nhiều dịch vụ sao lưu và khôi phục, nhắm vào một danh sách dài các quy trình và loại trừ các tệp và thư mục cụ thể trong quá trình mã hóa.
Nó tập trung mã hóa 35 loại định dạng tệp khác nhau như: sql, doc, jpg, png, pdf, docx, xlsx, và txt. Điều này nhằm tối đa hóa tổn thất dữ liệu của nạn nhân và gia tăng khả năng đòi tiền chuộc.
Công cụ và kỹ thuật hỗ trợ
Cuộc điều tra của Morphisec còn phát hiện các công cụ khác như EDRSandBlast, lợi dụng một trình điều khiển đã ký dễ bị tổn thương để vượt qua các hệ thống phát hiện và ngăn chặn mối đe dọa (EDR). Đây cũng là kỹ thuật từng được nhóm ransomware BlackByte sử dụng trước đây.
Cicada3301 cũng có dấu hiệu hợp tác với nhóm điều hành botnet Brutus để có quyền truy cập ban đầu vào các mạng doanh nghiệp. Đây là một chiến thuật mà các nhóm tội phạm mạng sử dụng để xâm nhập vào hệ thống trước khi thực hiện các cuộc tấn công ransomware.
Mối liên hệ với sự sụp đổ của BlackCat
Các nhà nghiên cứu tại Morphisec đặt ra giả thuyết rằng có thể Cicada3301 là sự tái thương hiệu của BlackCat, hoặc có thể nó được viết bởi cùng một nhà phát triển, hoặc thậm chí nhóm này đã sao chép một phần mã nguồn từ BlackCat để tạo ra một biến thể ransomware mới. Dòng thời gian của sự sụp đổ của BlackCat và sự xuất hiện của botnet Brutus cùng Cicada3301 có thể có mối liên hệ với nhau.
Các kỹ thuật tấn công trên VMware ESXi
Cicada3301 còn tấn công vào các hệ thống VMware ESXi, sử dụng kỹ thuật mã hóa tạm thời để mã hóa các tệp có dung lượng lớn hơn 100 MB, đồng thời sử dụng tham số “no_vm_ss” để mã hóa các tệp mà không cần tắt các máy ảo đang chạy.
Tuyên bố từ nhóm Cicada3301 không liên quan đến ransomware
Một nhóm tự xưng là Cicada3301, vốn đã gây ra nhiều sự chú ý trước đây với các câu đố mật mã “bí ẩn”, đã lên tiếng phủ nhận mọi liên quan đến các hoạt động ransomware của nhóm tội phạm mạng này. Tuy nhiên, sự trùng hợp về tên gọi đã khiến nhiều người chú ý và gây nhầm lẫn.
Kết luận
Sự xuất hiện của Cicada3301 là một mối đe dọa nghiêm trọng đối với các doanh nghiệp vừa và nhỏ, đặc biệt với khả năng tấn công đa dạng và tinh vi. Dù còn nhiều nghi vấn về mối liên hệ giữa Cicada3301 và BlackCat, nhưng rõ ràng rằng nhóm này đã học hỏi hoặc kế thừa những kỹ thuật từ các chiến dịch ransomware trước đó để thực hiện các cuộc tấn công có sức phá hoại cao. Các doanh nghiệp cần nâng cao cảnh giác và triển khai các biện pháp an ninh mạng thích hợp để bảo vệ hệ thống của mình trước các mối đe dọa này.
Các bạn có thể tìm hiểu thêm về chủ đề Ransomeware ở bài viết [CEH] Module 7 – Phần 5: Giới thiệu Ransomware và Worm.
![[CEH] Module 11 – Phần 1: Session Hijacking là gì?](https://sinhviencntt.net/wp-content/uploads/2023/07/m11-p1-350x250.png "[CEH] Module 11 - Phần 1: Session Hijacking là gì? 4")
![[CEH] Module 10 – Phần 5: Thực hành DoS sử dụng Metasploit và Hping3](https://sinhviencntt.net/wp-content/uploads/2025/04/m10-p5-350x250.png "[CEH] Module 10 - Phần 5: Thực hành DoS sử dụng Metasploit và Hping3 5")
![[CEH] Module 10 – Phần 4: Các giải pháp chống lại DDoS](https://sinhviencntt.net/wp-content/uploads/2025/01/m10-p4-350x250.png "[CEH] Module 10 - Phần 4: Các giải pháp chống lại DDoS 6")
![[CEH] Module 10 – Phần 3: Một số kiểu tấn công từ chối dịch vụ (tiếp theo)](https://sinhviencntt.net/wp-content/uploads/2025/01/m10-p2-350x250.png "[CEH] Module 10 - Phần 3: Một số kiểu tấn công từ chối dịch vụ (tiếp theo) 7")
![[CEH] Module 10 – Phần 2: Một số kiểu tấn công từ chối dịch vụ DoS/DDoS](https://sinhviencntt.net/wp-content/uploads/2024/09/m10-p2-350x250.png "[CEH] Module 10 – Phần 2: Một số kiểu tấn công từ chối dịch vụ DoS/DDoS 8")
Comments 1