Windows 和 Linux 易受熟悉的 Cicada3301 勒索软件攻击

网络安全研究人员对一种名为 Cicada3301 的较新勒索软件进行了详细分析，分析结果显示，该勒索软件与近期发生的臭名昭著的攻击有惊人的相似之处。Cicada3301 能够攻击基于 Linux 和 Windows 的系统。

这种新的恶意软件与 2021 年攻击 "殖民地管道 "的勒索软件 "黑猫"（BlackCat）有相似之处。 殖民地管道.其独特之处在于，Cicada3301 采用双管齐下的方式迫使受害者支付赎金；不仅文件会被加密，如果不支付赎金，文件还会被打包并泄露。

Cicada3301 于 2024 年 6 月首次被发现，当时它的创建者建立的专用网站上首次出现了受害者的数据泄露。后来，他们又在一个名为 RAMP 的俄罗斯暗网论坛上招揽联盟成员。他们将 Cicada3301 作为一种服务提供给用户，只要支付一定的费用就可以攻击选定的目标。这种模式被称为 "勒索软件即服务"（ransomware-as-a-service），近年来在坏人中越来越流行。

受害者会发现他们的系统在很大程度上无法抵御传统的用于阻止 勒索软件攻击这要归功于 Cicada3301 中巧妙的策略组合。取而代之的是一个孤零零的文本文件，其中提供了如何防止文件泄露的说明。根据该文本文件，这次攻击背后的组织提供了加强受害者安全以防止未来发生类似攻击的建议，如果受害者选择支付，还提供持续支持。

2021 年攻击事件幕后组织所使用的网站和资源最终被美国当局查封。据信，该组织已停止活动，但 Cicada3301 与 BlackCat 及其改名 ALHPV 有许多相似之处。

Cicada3301 是用 Rust 编程语言编写的，这使其具有通用性、高效性和可扩展性，但这也可能被认为只是追随了 BlackCat 的发展趋势；在那次攻击之前，用 Rust 编写的勒索软件极为罕见，更多时候只是白帽黑客在网络上展示的概念验证。

除了使用相同的编程语言和一般攻击结构外，Cicada3301 还使用类似的解密方法，而且新恶意软件中的许多命令与 BlackCat 中的函数调用完全相同。在这两种攻击中，合法用户凭据都是通过任何可用手段（通常是社会工程学）获取的，并用于访问目标系统。

之后，这两种攻击都会使用几乎相同的调用来做一些事情，如打电话回家、加密和解密文件、显示消息等。不过，Cicada3301 还有些新花样。其中最主要的是能够阻止外部机器（包括虚拟机）访问加密文件和系统。

截至 2024 年 9 月，与 Cicada3301 相关的所有资源似乎仍在运行，也没有任何与之相关的不良行为者下台或被捕的报道。新的勒索软件有可能是黑猫（BlackCat）攻击中的一个或多个团队成员所为，也有可能是在黑猫（BlackCat）销声匿迹之前复制了其大部分代码的敌对组织所为。