Cicada3301 勒索病毒的兴起与 ALPHV/BlackCat 的相似性分析

主要重点

• Cicada3301 勒索病毒被认为与 ALPHV/BlackCat 勒索病毒有相似之处，可能是同一网路犯罪集团的重品牌。
• 透过 Truesec 和 Morphisec 的分析，Cicada3301 在某些技术上模仿了 ALPHV/BlackCat，但也表现出独特的特征。
• ALPHV/BlackCat 的衰落与 Cicada3301 的出现时间相近，可能暗示著某种联系。

Cicada3301 勒索病毒作为新兴的服务平台（RaaS）引发了广泛关注，因为分析显示它与已经解散的 ALPHV/BlackCat勒索病毒株存在相似之处，这暗示著这一恶名昭彰的网路犯罪团伙可能发生了重品牌。

具体而言，Cicada3301 与 ALPHV/BlackCat 之间到底有多相似？又是否存在其他可能解释这种相似性的原因？

Truesec 和 Morphisec 分别发布了有关 Cicada3301 ESXi 勒索病毒和 Windows 变种的分析，提供了其与 ALPHV/BlackCat 之间关系的一些见解，以及这一新兴 RaaS 的一些独特方面。

ALPHV/BlackCat 的衰落与 Cicada3301 的兴起时间线

ALPHV/BlackCat 的衰落始于去年 12 月初其泄露网站的临时关闭，接著在 12 月 19日，由联邦调查局（FBI）宣布对该团伙的基础设施进行了干扰，并开发了一款针对 ALPHV/BlackCat 勒索病毒的解密工具。

然而，ALPHV/BlackCat 在几个小时后便“重启”了其网站，威胁要报复性地攻击关键基础设施。该团伙在 2024 年初持续宣称有若干受害者， culminated 在 2 月对 Change Healthcare 的大规模网络攻击。

在这次攻击后，ALPHV/BlackCat 的网站在 3 月初再次下线，显示出一则“假 FBI 端遣通知”。 目前强烈怀疑该团伙进行了退出诈骗，从其朋友处窃取了 Change Healthcare 的 2200 万美元赎金。

来自 Change Healthcare 的数据随后被转售给另一 RaaS 团伙 RansomHub，他们据报导将其上架出售。

根据 Truesec 的报告，Cicada3301 在 6 月 25 日首次发布了其受害者，并于 6 月 29 日在一个网络犯罪论坛上广告其 RaaS平台。

在 ALPHV/BlackCat 失去市场地位和 Cicada3301 首次亮相之间，3 月 18 日，一个名为 Brutus的肉鸡网络开始进行活动。Truesec 研究人员指出，Cicada3301 似乎与 Brutus 有关，因为它使用了一个与该肉鸡网络关联的 IP 地址。

“所有这些事件可能相关，并且部分 BlackCat 团伙现在可能以 Cicada3301 的身份重组，并与 Brutus肉鸡网络合作，甚至自己创建了该网络，以便获取潜在受害者的访问权限，同时将其勒索病毒修改为新的 Cicada3301，”Truesec报告中指出。“该团伙也可能与 ALPHV 背后的恶意软件开发者合作。这位个体似乎曾为几个不同的勒索病毒组织工作过。”

Morphisec 的报告指出，Cicada3301 最近活跃地攻击受害者，该安全公司从一个客户的攻击中获得了 Cicada3301 执行档。

Cicada3301 与 ALPHV/BlackCat 之间的相似性

Tr