HomeVulnerabilityNeue Ransomware zielt auf ESXi-Server

Neue Ransomware zielt auf ESXi-Server

Die neue Ransomware-Gruppe Cicada3301 weist Ähnlichkeiten zur AlphV-Bande auf.

Truesec

Forscher von Trusec sind kürzlich auf eine neue Ransomware-as-a-Service-Gruppe mit dem Namen Cicada3301 gestoßen. Die Bande bietet ihren Partnern eine Plattform für zweifache Erpressung, die sowohl eine Ransomware- als auch eine Datenleck-Seite umfasst. Laut Forschungsbericht ist sie erstmals im Juni 2024 in Erscheinung getreten und hat sich auf Home windows- und Linux-ESXi-Hosts spezialisiert.

Ähnlichkeiten zu AlphV

In ihrer Analyse stellten die Sicherheitsforscher fest, dass die Gruppe Ähnlichkeiten zur inzwischen nicht mehr aktiven Cybergang AlphV (auch bekannt als BlackCat) aufweist: “Bei beiden ist die Ransomware in Rust geschrieben, beide nutzen ChaCha20 zur Verschlüsselung. Zudem sind die Befehle zum Herunterfahren von VMs und Entfernen von Snapshots nahezu identisch und beide nutzen einen -ui-Parameter zur Ausgabe einer Grafik bei der Verschlüsselung.”

Bei dem von den Forschern untersuchten Angriff haben die Hacker gültige Log-in-Daten für ScreenConnect für den initialen Einbruch verwendet. Die IP-Adresse der Kriminellen ließ sich dabei auf ein Botnet namens “Brutus” zurückführen. Brutus steht dem Bericht zufolge in Zusammenhang mit einer größeren Credential-Stuffing-Kampagne auf various VPN-Programme, einschließlich ScreenConnect.

See also  MFA quickly obligatory for AWS customers, passwordless authentication an possibility
- Advertisment -spot_img
RELATED ARTICLES

LEAVE A REPLY

Please enter your comment!
Please enter your name here

- Advertisment -

Most Popular