블랙캣, Cicada3301로 컴백?
Has BlackCat returned as Cicada3301? Maybe.
2022년 IBM X-Force가 추적한 주요 악성코드 중 하나였던 블랙캣 랜섬웨어(ALPHV)는 그 다음해에 새로운 툴과 공격 전략을 더해 Black Cat의 영향력을 강화해왔습니다.
그 결과, 2024년 3월에는 Change Healthcare를 공격해 2,200만 달러에 달하는 비트코인 몸값을 받아내는 성과를 냈습니다.. 그런데 얼마 지나지 않아 블랙캣이 갑작스레 활동을 중단하고 “연방 수사관”을 이유로 들며 문을 닫았습니다.
하지만 이후 놀라울 정도로 비슷한 방식의 새로운 위협이 등장했습니다 -Cicada3301. 혹시 블랙캣이 새로운 모습으로 돌아온 걸까요? 아직 확실치는 않지만, 그럴 가능성이 있어 보입니다.
In 2022, BlackCat ransomware (also known as ALPHV) was among the top malware types tracked by IBM X-Force. The following year, the threat actor group added new tools and tactics to enhance BlackCat’s impact.
The effort paid off — literally. In March 2024, BlackCat successfully compromised Change Healthcare and received a ransom payment of $22 million in Bitcoin. But here’s where things get weird: Immediately after taking payment, BlackCat closed its doors, citing “the feds” as the reason for the shutdown.
Now, an eerily similar iteration has emerged: Cicada3301. While it’s too soon to say for sure, BlackCat may be back.
블랙캣(ALPHV) 분석
Analyzing ALPHV
블랙캣은 전성기 동안 가장 활발하게 활동하는 랜섬웨어 상위 그룹 10위 그룹에 꾸준히 이름을 올렸습니다.
이들이 성공할 수 있었던 비결 중 하나는 끊임없는 혁신에 있었습니다. IBM X-Force의 악성코드 분석팀장 케빈 헨슨(Kevin Henson)은 블랙캣이 Rust로 작성된 첫 랜섬웨어였다고 설명하며, Rust를 선택해 맞춤형 기능을 추가하고 악성코드 분석을 방지하는 조치를 구현할 수 있었습니다.
헨슨은 또한 블랙캣의 업그레이드 버전인 스핑크스는 토큰이 아닌 암호화된 일반 회선을 사용하여 보안팀이 블랙캣 코드에 접근하기 어렵게 만들었다고 언급했습니다.
그리고 데이터 탈취 후 자가 삭제되는 ‘ExMatter’라는 맞춤형 악성코드를 사용해 데이터를 자동으로 탈취하고, 탈취가 완료되면 해당 도구가 자가 삭제(소위 ‘녹음’)되는 방식을 채택해 보안 팀의 대응을 방해했습니다.
이들이 공격하는 방식은 IT 시스템에 대한 깊은 이해를 바탕으로 했습니다. 그룹 정책 객체(GPO)를 활용해 악성코드 배포 속도를 높이고, GPO 갱신 주기를 조정해 악성코드가 더 빠르게 확산되도록 함으로써 보안팀의 대응 시간을 줄였습니다.
BlackCat consistently made the list of the top ten most active ransomware groups during its heyday.
Innovation is partly responsible for its success. As noted by Kevin Henson, Lead Malware Reverse Engineer, IBM X-Force, IBM Consulting, Cybersecurity Services, “It was the first piece of ransomware written in Rust. Choosing Rust let BlackCat engineers add customized features and implement measures that prevented malware analysis.”
Henson points to an upgraded version of BlackCat known as Sphinx, which used an encrypted common line rather than tokens, making it hard for security teams to access BlackCat code.
BlackCat ransomware operators also used custom malware known as ExMatter to automate the data exfiltration process. Once exfiltration was complete, the tool “melted” — self-deleted — to hinder the efforts of security teams. It’s also worth noting that BlackCat and its affiliate users demonstrated more than a casual knowledge of corporate IT operations.
For example, attackers leveraged Group Policy Objects (GPOs) to increase the speed of malware deployments. By changing GPO refresh times, malicious code spread more quickly and security teams had less time to respond.
블랙캣의 작별 인사와 새로운 위협의 등장
BlackCat says goodbye — A new pest says hello
2022년 블랙매터(BlackMatter)와 다크사이드(DarkSide)와 같은 경쟁자들이 활동을 중단한 이후 블랙캣은 글로벌한 악성 코드로 자리잡았습니다. 정부 기관을 비롯해 교육 기관, 에너지 공급 업체 등 다양한 분야에서 공격을 이어갔습니다.
법무부가 2023년 말에 블랙캣 서버를 압수했지만, 이들은 2024년 초 다시 활동을 재개했습니다. 심지어, Change Healthcare를 공격해 거액의 몸값을 받은 뒤, 리크 사이트를 폐쇄하고 RaaS(Ransomware-as-a-Service) 소스 코드를 500만 달러에 판매한다고 발표했습니다.
이들은 법 집행 방해를 근거로 내새웠지만, 일부 내부자는 Change Healthcare 공격의 수익을 공정하게 분배하지 않았다는 의혹을 제기했습니다.
블랙캣의 활동이 중단된 지 6개월 후, 새로운 위협인 Cicada3301이 등장했습니다. Henson은 “정적 식별 도구를 사용해 본 결과, BlackCat과 Cicada3301이 동일한 도구 세트로 컴파일된 것을 알 수 있었습니다. 또한 이벤트 로그를 지우는 방식 등 일부 기능도 두 가지가 유사합니다”라고 설명했습니다. 그는 코드 자체가 BlackCat을 단순히 재사용한 것은 아니지만, “이 악성코드 그룹이 코드베이스를 본 적이 있거나 같은 개발자를 사용하고 있을 가능성이 큽니다”라고 말했습니다.
현재 Cicada3301은 느린 속도로 활동을 시작하고 있습니다. IBM X-Force의 악성코드 리버스 엔지니어인 Agnes Ramos-Beauchamp는 “오픈 소스 인텔리전스(OSINT) 보고서에 따르면 이들은 중소기업(SMB) 같은 쉬운 표적을 겨냥하고 있습니다. 초기 침투 경로는 원격 데스크톱 프로토콜(RDP)을 통해 이루어지는 것으로 보이며, 도난된 자격 증명이나 크랙 가능한 비밀번호를 사용하고 있는 것 같습니다”라고 전했습니다. BlackCat이 겪었던 법적 문제를 고려할 때, Cicada3301이 초기에는 낮은 난이도의 표적을 선택하는 것은 합리적인 전략으로 보입니다. 이 접근 방식은 악성코드가 더 발전할 때까지 이어질 가능성이 있습니다.
With competitors such as BlackMatter/DarkSide closing up shop in 2022, BlackCat became a global nuisance, attacking everything from educational institutions and energy providers to government agencies.
Even the late 2023 seizure of BlackCat servers by the United States Department of Justice wasn’t enough to stop its predatory prowling. By early 2024, ALPHV was back in action, encrypting massive amounts of Change Healthcare data and netting themselves a cool $22 million bitcoin ransom.
Shortly after the payoff, however, BlackCat closed its leak site and announced the sale of its Ransomware-as-a-Service (RaaS) source code for $5 million. The group itself claimed law enforcement interference as the reason for the shutdown, but BlackCat affiliates told a different story: ALPHV administrators didn’t share the profits of the Change Healthcare attack as promised, instead keeping everything for themselves.
Six months after BlackCat’s goodbye, however, a new pest emerged: Cicada3301. As noted by Henson, “After using static identification tools, we see that BlackCat and Cicada3301 were compiled using the same toolset. Also, some of the functionality is similar between the two, such as the way the ransomware clears event logs.” While he says that code itself isn’t just a rehash of BlackCat, “the malware group has either seen the code base or are using the same developers.”
So far, Cicada3301 is taking it slow. Agnes Ramos-Beauchamp, Malware Reverse Engineer at IBM X-Force, says that “according to open-source intelligence (OSINT) reports, they’re targeting easy prey like small and medium-sized businesses (SMBs). The initial compromise vector appears to be through Remote Desktop Protocol (RDP), likely using stolen credentials or crackable passwords.” Given the law enforcement issues encountered by BlackCat, shooting for the low-hanging fruit makes sense — at least until the malware is more developed.
시카다3301: 모방자, 혹은 혁신자?
Cicada3301: Imitator or innovator?
새롭게 등장한 시카다3301이 블랙캣의 2.0 버전인지 아니면 독립적인 악성코드인지는 여전히 의문입니다. 결론적으로 얘기 하자면, 그 둘의 중간쯤에 위치한 것으로 보입니다.
시카다3301은 블랙캣처럼 Rust로 작성되었으며, 헨슨(Henson)은 현재 초기 버전일 가능성이 높으며 시간이 지나면서 더 많은 기능이 추가될 것으로 예상한다고 언급했습니다. 이는 블랙캣이 스핑크스로 발전한 과정과 유사합니다.
Morphisec의 보고서에 따르면, 시카다3301은 파라미터 구성 인터페이스, 예외 처리 방식, 쉐도우 복사 삭제 등의 기능이 블랙캣과 비슷합니다. 악성코드 분석가인 라모스-보샹프(Ramos-Beauchamp)는 시카다3301이 블랙캣의 IP와 인프라를 일부 공유하고 있으며, psexec 파일을 통해 시스템 내부에서 이동하는 방식 역시 유사하다고 말했습니다.
하지만 시카다3301은 블랙캣의 단순한 복제판은 아닙니다. 시카다3301은 새로운 방식으로 감염된 계정을 랜섬웨어 코드에 포함해 보안팀이 이를 탐지하기 더 어렵게 했습니다.
With Cicada on the rise, it’s worth asking the question: Is this BlackCat 2.0 or something entirely different? The answer seems to lie somewhere in the middle.
For example, the new malware strain is also written in Rust. According to Henson, “What we’re seeing with Cicada is an early version. I suspect that as time goes by, developers will add more features.” BlackCat went through a similar process with the development of Sphinx. Of course, this could simply be a coincidence — other malware, such as Hive and RansomExx, has also used Rust, and malware tools improving over time is standard practice for RaaS developers.
As noted by a Morphisec report, however, the similarities are more than just skin-deep. Like BlackCat, Cicada3301 “features a well-defined parameter configuration interface, registers a vector exception handler and employs similar methods for shadow copy deletion and tampering.”
According to Ramos-Beauchamp, there’s also some sharing of infrastructure. Cicada is reusing some of the IPs that BlackCat used to use, and they’re using similar toolsets, along with the psexec executable for lateral movement.”
But Cicada isn’t just a clone of BlackCat. Unlike its predecessor, Cicada3301 embeds compromised user credentials within the ransomware itself, an approach that has not been previously observed.
시카다3301, 과연 블랙캣 2.0일까?
Don’t bug me, man
시카다3301은 블랙캣 2.0일 수도, 혹은 ALPHV(블랙캣)의 주요 기능을 활용해 자체 기능을 추가한 새롭게 진화한 모방자일 수도 있습니다. 어쨌든 이 악성코드는 블랙캣과 마찬가지로 피싱을 주요 진입점으로 삼고 있습니다. 공격자들이 사용자로부터 로그인 정보를 확보할 수만 있다면, 원격 데스크톱 프로토콜(RDP)을 통해 기업 시스템에 접근하고 감염시킬 가능성이 생깁니다. 최근 공격자들은 이메일과 문자 메시지를 조합해 이를 노리고 있습니다.
IBM X-Force의 케빈 헨슨(Kevin Henson)은 “많은 이메일이 매우 설득력 있으며, 문자 메시지에는 실제 배송 날짜나 지연 정보처럼 믿기 쉬운 내용이 포함된다”고 경고합니다. 직원들에게 일반적인 피싱 기법에 대해 교육하고, 지능형 탐지 도구로 보안을 강화하면 블랙캣 때와 마찬가지로 시카다3301의 위협에 효과적으로 대응할 수 있을 것입니다.
블랙캣이 정말 돌아온 걸까요? 가능성은 있습니다. 시카다3301은 ALPHV와 상당히 유사한 형식과 기능을 공유하며, 시간이 지나며 기능이 점점 진화하는 모습을 보여주고 있습니다. 보안 측면에서 이와 같은 유사성은 중요한 정보로 작용하는데, 유사한 아키텍처가 효과적인 방어 수단을 알려줄 뿐 아니라 이 새로운 악성코드를 누가 운영하는지에 대한 논의를 불러일으키기 때문입니다.
또한 기업 운영 관점에서도 시카다3301과 블랙캣의 유사성은 중요합니다. 시카다3301이 블랙캣의 복제품이든 아니든, 사용자 계정 탈취를 통한 침투가 여전히 주요 방법이기 때문입니다. 지능형 이메일 모니터링과 직원 보안 교육을 결합해 나쁜 공격자들의 접근을 차단할 수 있습니다.
Cicada3301 may be BlackCat 2.0, or it may simply be an impressive imitator that leverages some of ALPHV’s most effective components and builds on this functionality with a new approach to handling compromised credentials.
Regardless of its role as a malware replica or malicious revolution, Cicada3301 relies on the same starting point as BlackCat: Phishing. If malicious actors can convince users to provide credentials, they can potentially access RDP endpoints and infect corporate systems. Attackers are now using a combination of both emails and text messages to get their foot in the door.
“A lot of these emails are very persuasive,” says Henson, “And text messages may seemingly contain legitimate details about packages, such as delivery dates or potential delays.” By educating staff about the hallmarks of common phishing efforts and bolstering security with intelligent detection tools, businesses should be able to address emerging Cicada threats in much the same way they handled BlackCat.
So, is BlackCat back? Maybe. Cicada3301 shares a significant amount of both form and function with the ALPHV malware and shows similar signs of evolving over time. From a security perspective, the overlap is informative — the use of similar architecture helps inform effective defense and drives discussion of who’s behind this new iteration.
From a business operations standpoint, meanwhile, these similarities are actionable. Doppelganger or not, Cicada3301 still relies on stealing user credentials as its route to compromise. By leveraging a combination of intelligent email monitoring and regular employee security training, businesses can keep bad actor bugs at bay.
https://securityintelligence.com/news/has-blackcat-returned-as-cicada3301/
blackcat | Change Healthcare | cicada3301 | Malware | Ransomware | Ransomware-as-a-Service (RaaS) | Risk Management