新变种Cicada3301勒索软件攻击VMware ESXi系统

关键要点

新的Cicada3301勒索软件团伙针对VMware ESXi服务器，自6月中旬以来已入侵近二十个组织。攻击方式包括通过窃取或暴力破解的凭证进入ScreenConnect，使用与Brutus僵尸网络相关的IP地址分发勒索软件。Cicada3301勒索软件支持延期执行、实时加密监控，以及在虚拟机运行时加密文件。此勒索软件的编程语言、加密技术和文件命名规则与已退役的ALPHV/BlackCat勒索软件相似。

根据Security Affairs的报道，一种新的Cicada3301勒索软件即服务RaaS团伙自6月中旬以来，已对近二十个组织进行了针对VMware ESXi服务器的攻击。

黑洞加速器vp

这类攻击首先通过窃取或暴力破解的凭证入侵ScreenConnect，并利用之前与Brutus僵尸网络相关联的IP地址进行Cicada3301勒索软件的分发。根据Truesec的报告，Cicada3301提供了一些参数，这些参数能够使其在特定条件下进行延期执行、实时加密监控，甚至在虚拟机运行时对文件进行加密。“加密完成后，勒索软件使用提供的RSA密钥加密ChaCha20密钥，并最终将扩展名写入加密文件。加密文件扩展名也会和加密的ChaCha20密钥一起添加到文件末尾，”研究人员表示。进一步的分析显示，Cicada3301不仅在编程语言、加密技术和文件命名规则上与已退役的ALPHV/BlackCat勒索软件相似，还在虚拟机关闭和快照删除命令上具备相似性。

总的来说，这一系列勒索软件攻击展现了黑客团伙的技术进步，提示组织在网络安全上需采取更为严密的防范措施。考虑到实际案例的增加，各个行业应考虑视情况更新其安全策略，以应对新兴的网络威胁。