摘要

Cicada3301 勒索软件组织声称已入侵标致特许经营公司,窃取了 35GB 的敏感数据。
该组织采用 “勒索软件即服务”(RaaS)模式,收取 20% 的佣金。
该勒索软件于 2024 年 6 月首次被发现,主要针对 Windows 和 Linux/ESXi 系统。
Cicada3301 与 BlackCat 有相似之处,使用 ChaCha20 加密和类似的策略。
泄露的数据包括发票、护照副本和内部通信。

Cicada3301 是一个勒索软件组织,它声称对针对 Concession Peugeot(concessions.peugeot.fr)的数据泄露事件负责,Concession Peugeot 是法国一家著名的汽车经销商,与标致品牌有关联。该组织声称已经窃取了 35GB 的敏感数据,这标志着其侵略性网络活动的继续。


cicada3301勒索软件暗网泄露网站截图(截图:Hackread.com)

该组织于上周末(2024 年 12 月 15 日,周日)在其官方暗网泄漏网站上宣布了这一所谓的漏洞。值得注意的是,Cicada3301 这个名字在 2010 年代初曾与密码谜题联系在一起,后来被以 “勒索软件即服务”(RaaS)模式运作的勒索软件组织所采用。

这种模式使关联公司能够通过租用勒索软件基础设施并与运营商分成来实施攻击。Check Point 在 2024 年 9 月的报告中还提到了 Cicada3301,该组织在一个俄语地下论坛上发布了一则广告,提供勒索软件即服务(ransomware-as-a-service)。该组织要求从成功的攻击中收取 20% 的佣金,甚至还为合作伙伴之间的纠纷提供谈判机制。

网络安全公司 Truesec 于 2024 年 6 月首次发现了 Cicada3301 勒索软件组织。该勒索软件使用 Rust 语言编写,可同时针对 Windows 和 Linux/ESXi 系统,展示了其跨平台能力。

Cicada3301 与 ALPHV/BlackCat 勒索软件有明显的相似之处,包括使用 ChaCha20 加密、关闭虚拟机的相同命令以及为加密提供图形输出的 -ui 命令。两组勒索软件还共享类似的文件命名模式和用于解密赎金票据的关键参数。这些重叠表明它们之间有共同的联系,或者采用了成熟的技术来最大限度地提高效率和影响。

对标致特许经营店的攻击符合 Cicada3301 的战略,即针对高价值组织实施攻击,以最大限度地扩大影响。35GB 的数据被盗尤其令人担忧,因为 Hackread.com 查看的泄露文件截图显示了官方和内部通信、发票、护照副本甚至食谱。


cicada3301勒索软件暗网泄露网站截图(截图:Hackread.com)

编者注

事实上,标致特许经营公司在官方子域名 concessions.peugeot.fr 下运营,这与标致这个大品牌有更紧密的联系。像标致这样的大公司通常会让其授权经销商使用子域名,以保持一致的在线形象,使客户更容易信任他们的服务。

然而,这种设置意味着对经销商的攻击很容易看起来像对主公司的攻击。虽然这次漏洞只针对经销商,但使用标致的域名可能会导致混乱,并引发对整个品牌安全性的质疑。

文章原文链接:https://www.anquanke.com/post/id/302764