Podle zprávy Security Affairs došlo od poloviny června k narušení bezpečnosti téměř dvaceti organizací v důsledku útoků nové skupiny ransomware-as-a-service s názvem Cicada3301, která se zaměřuje na servery VMware ESXi. Útoky této operace začínají infiltrací prostřednictvím ScreenConnect, a to buď pomocí ukradených, nebo hrubou silou získaných přihlašovacích údajů, přičemž je využívána také IP adresa dříve spojená s botnetem Brutus. Tímto způsobem je usnadněna distribuce ransomware Cicada3301, který nabízí parametry umožňující odložené provádění, monitorování šifrování v reálném čase a šifrování souborů i při běžících virtuálních strojích. Po dokončení šifrování ransomware šifruje klíč ChaCha20 pomocí poskytnutého RSA klíče a nakonec přidává příponu k zašifrovanému souboru. Přípona souboru je přidána na konec zašifrovaného souboru spolu se RSA zašifrovaným klíčem ChaCha20. Další analýza ukázala, že Cicada3301 má nejen stejný programovací jazyk a šifrovací techniku, ale také podobné příkazy pro vypnutí virtuálních strojů a odstranění snapshotů jako nyní neexistující ransomware ALPHV/BlackCat.
Zdroj: VMware ESXi Servers Targeted by Cicada3301 RaaS Gang | ChannelE2E