Truesec
Forscher von Trusec sind kürzlich auf eine neue Ransomware-as-a-Service-Gruppe mit dem Namen Cicada3301 gestoßen. Die Bande bietet ihren Partnern eine Plattform für zweifache Erpressung, die sowohl eine Ransomware- als auch eine Datenleck-Seite umfasst. Laut Forschungsbericht ist sie erstmals im Juni 2024 in Erscheinung getreten und hat sich auf Windows- und Linux-ESXi-Hosts spezialisiert.
Ähnlichkeiten zu AlphV
In ihrer Analyse stellten die Sicherheitsforscher fest, dass die Gruppe Ähnlichkeiten zur inzwischen nicht mehr aktiven Cybergang AlphV (auch bekannt als BlackCat) aufweist: “Bei beiden ist die Ransomware in Rust geschrieben, beide nutzen ChaCha20 zur Verschlüsselung. Zudem sind die Befehle zum Herunterfahren von VMs und Entfernen von Snapshots nahezu identisch und beide nutzen einen -ui-Parameter zur Ausgabe einer Grafik bei der Verschlüsselung.”
Bei dem von den Forschern untersuchten Angriff haben die Hacker gültige Log-in-Daten für ScreenConnect für den initialen Einbruch verwendet. Die IP-Adresse der Kriminellen ließ sich dabei auf ein Botnet namens “Brutus” zurückführen. Brutus steht dem Bericht zufolge in Zusammenhang mit einer größeren Credential-Stuffing-Kampagne auf diverse VPN-Programme, einschließlich ScreenConnect.
Da die IP-Adresse nur wenige Stunden zuvor auffiel, gehen die Experten davon aus, dass die Zugangsdaten in der kurzen Zeit nicht verkauft wurden. Zudem entdeckten sie einen weiteren Hinweis, der auf eine Verbindung mit der AlphV-Bande hindeuten könnte: Die Brutus-Botnet-Aktivitäten gingen rund zwei Wochen los, nachdem AlphV mit einer letzten Betrugsmasche von der Bildfläche verschwunden war.
Sie möchten regelmäig über alles Wichtige rund um Cybersicherheit informiert werden? Unser kostenloser Newsletter liefert Ihnen alles, was Sie wissen müssen.
No Responses