Les environnements basés sur l'hyperviseur ESXi de VMware aiguisent de plus en plus l'appétit des pirates. Il faut dire que cette menace, qui avait fini par faire réagir le fournisseur de solutions de virtualisation, se caractérise par la montée en puissance de ransomwares et gangs de cybercriminels spécialisés dans les ransomware as a service (RaaS) s'attaquant spécifiquement à ces systèmes comme BlackCat/ALPHV, Black Basta, Defray, ESXiArgs, LockBit, MichaelKors, Nevada, Play, Rook, Rorschach... Un dernier membre malveillant vient compléter la liste: Cicada3301. Ce nouveau cybergang, découvert en juin 2024 et qui a déjà fait une vingtaine de victimes, tente de séduire des affiliés et a fait du ransomware as a service son fonds de commerce. Il a fait l'objet d'une analyse de Truesec qui a livré des détails sur son fonctionnement.

Cicada3301 - qui n'a rien à voir avec l'initiative éponyme de puzzles chiffrés lancés sur Internet entre 2012 et 2014 avec des indices à collecter dans plusieurs endroits du monde - cible les hôtes Windows et Linux/ESXi. "Le ransomware Cicada3301 présente plusieurs similitudes intéressantes avec le ransomware ALPHV", explique Truesec. Parmi elles, le fournisseur pointe le fait qu'ils sont tous deux écrits en Rust, utilisent ChaCha20 pour le chiffrement, ont des commandes presque identiques pour arrêter les machines virtuelles et supprimer les snapshots, utilisent les paramètres pour fournir une interface graphique de chiffrement, ainsi que la même convention de nommage de fichiers en remplaçant seulement l'extension Recover Files.txt par Recover Data.txt. "La fonction de chiffrement contient une liste d'extensions de fichiers dont la plupart concernent des documents ou des images. Cela indique que le ransomware a été utilisé pour crypter des systèmes Windows avant d'être porté sur des hôtes ESXi ransomware", précise la société.

Une technique de double extorsion

Comme d'autres ransomwares, Cicada3301 utilise une tactique de double extorsion consistant à pénétrer dans les réseaux d'entreprise, voler des données, puis chiffrer des systèmes puis menacer les victimes de publier des données volées en cas de non paiement d'une rançon. En combinant chiffrement des fichiers et perturbation du fonctionnement des VM et suppression des options de récupération, ce RaaS dispose d'atouts certains pour les pirates. Dans sa recherche, Truesec explique que le vecteur d'attaque initial utilisé par Cicada3301 se base sur une violation de connexion via l'outil d'accès à distance ScreenConnect et des identifiants volés ou obtenus par des attaques en force brute. Cette campagne malveillante serait par ailleurs liée au botnet "Brutus" dont l'activité remonte à mars dernier, deux semaines après l'arrêt d'activité du cybergang aux manettes de BlackCat/ALPHV, et impliqué dans les attaques de grande envergure contre des VPN Cisco, Fortinet, Palo Alto et SonicWall.

"Il est possible que tous ces événements soient liés et qu'une partie du groupe BlackCat se soit rebaptisée Cicada3301 et ait fait équipe avec le botnet Brutus, ou l'a même lancé lui-même, afin d'avoir accès à des victimes potentielles, tout en modifiant son ransomware dans le nouveau Cicada3301", avance Truesec. "Il est également possible qu'un autre groupe de cybercriminels a obtenu le code d'ALPHV et l'a modifié pour répondre à ses besoins. Lorsque BlackCat a mis fin à ses activités, il a déclaré que le code source de son ransomware était à vendre pour 5 M$. Il est également important de noter qu'à notre connaissance, Cicada3301 n'est pas aussi sophistiqué que le ransomware ALPHV. Les créateurs peuvent décider d'ajouter ultérieurement des fonctionnalités supplémentaires, telles qu'une meilleure obfuscation."

Fonctions, paramètres et chiffrement de fichiers

Cicada3301 s'appuie sur un binaire dont la principale fonction s'appelle linux_enc sachant qu'il est possible de lui ajouter un paramètre « sleep » pour activer un délai avant d'exécuter le ransomware. Son interface graphique permet d'afficher à l'écran le résultat du chiffrement, en indiquant les fichiers qui ont été chiffrés et une statistique sur la quantité totale de fichiers et de données qui l'ont été avec succès. "Si le paramètre no_vm_ss est choisi, le ransomware cryptera les fichiers sans arrêter les machines virtuelles qui tournent sur ESXi. Pour ce faire, il utilise le terminal esxicli intégré, qui supprime également les snapshots", ajoute Truesec. "Le binaire contient une fonction appelée encrypt_file qui gère le cryptage des fichiers. La première fonction consiste à extraire une autre clé PGP publique qui est stockée dans la section des données. Cette clé est utilisée pour le cryptage de la clé symétrique générée pour le cryptage des fichiers."  Cicada3301 chiffre les fichiers avec une clé symétrique générée par OsRng à l'aide de ChaCha20, après quoi le malware chiffre la clé ChaCha20 avec la clé RSA fournie et écrit enfin l'extension du fichier chiffré. "L'extension du fichier est également ajoutée à la fin du fichier crypté, ainsi que la clé ChaCha20 cryptée par RSA", poursuit Truesec.