Repellent Scorpius : l’opérateur de la franchise Cicada3301

Repellent Scorpius, c’est le nom que donnent les chercheurs de l’unité 42 de Palo Alto Networks, à un acteur malveillant déployant le ransomware de l’enseigne Cicada3301. 

Connue depuis le printemps, cette enseigne compte à son actif 27 victimes revendiquées, à l’heure où sont publiées ces lignes. 

Selon les chercheurs de Palo Alto Networks, Repellent Scorpius a développé un programme d'affiliation RaaS associé à l’enseigne : « il exploite un panneau de contrôle pour les affidés et des pages de paiement de rançon pour les victimes, et recrute activement des courtiers d'accès initial (IAB) et des pentesters sur des forums de cybercriminalité en langue russe ».

Le rançongiciel en question est développé en Rust – également utilisé antérieurement par Alphv/BlackCat et par Qilin (avec Agenda, et après Golang, selon Trend Micro), ou encore ThreeAM.

Point intriguant, l’unité 42 dit avoir connaissance « d’au moins un cas où Repellent Scorpius a eu accès aux données d’une victime, que les attaquants ont vraisemblablement obtenues durant un incident survenu plusieurs années auparavant ».

Et de préciser que l’on « ne sait pas exactement comment le groupe Repellent Scorpius a obtenu ces données. Cependant, nous avons observé certains recoupements avec une autre attaque menée par un affidé qui a déployé le ransomware BlackCat, signalée en mars 2022 ».

Plus avant, les équipes de l’unité 42 indiquent avoir « constaté quelques chevauchements basés sur les noms de fichiers » sans toutefois avoir « observé de chevauchements substantiels de TTP entre l'incident récent de ransomware et l'incident historique ».

Le ransomware de Cicada3301 pourrait être en développement actif, les équipes de Palo Alto en ayant trouvé une nouvelle version fin juillet 2024 : « les auteurs de la menace ont ajouté un nouvel argument de ligne de commande, --no-note. Lorsque cet argument est invoqué, le rançongiciel n'écrira pas la note de rançon sur le système ».

Sollicité au sujet de certains échantillons mentionnés dans le rapport de l’unité 42, Jerome Tujague, Reverse Malware Engineer au sein de celle-ci, a relevé que certaines règles Yara utilisées sur Virus Total sont susceptibles d’identifier par erreur le ransomware de Cicada3301 comme celui de Qilin.