Le rançongiciel Cicada pourrait être une refonte et une mise à niveau de BlackCat/ALPHV.

Le ransomware Cicada3301, qui a revendiqué au moins 20 victimes depuis sa découverte en juin, partage des « similitudes frappantes » avec le fameux ransomware BlackCat, selon les chercheurs en sécurité de l’entreprise israélienne Morphisec. L’équipe de renseignement sur les menaces de Morphisec a publié mardi une analyse de Cicada3301, affirmant qu’il a été codé en Rust – tout comme BlackCat. Cicada partage d’autres caractéristiques avec BlackCat, notamment la façon dont il essaie de supprimer les copies d’ombre que Windows Server peut créer pour reproduire des fichiers utiles à un instant précis. La suppression de ces copies pourrait rendre la récupération après ransomware plus difficile. Le logiciel malveillant manipule le service de cliché instantané de volume Windows (vssadmin) qui permet de créer les copies d’ombre, puis il appelle le WMI (Windows Management Instrumentation). Il altère également l’utilitaire « bcdedit » dans le but d’empêcher les victimes de récupérer les systèmes chiffrés. Morphisec a également identifié des personnalisations telles que l’intégration de références utilisateur compromises dans le ransomware, puis l’exécution du malware avec ces références valides en utilisant un outil de gestion à distance Sysinternals renommé appelé psexec. « Alors que les notes de rançongiciel et le chiffrement de rançongiciel ont été personnalisés pour chaque victime, l’intégration de références compromises dans un rançongiciel représente un nouveau niveau de personnalisation », ont écrit les chercheurs dans un rapport [PDF].

Share the Post: