勒索软件组织Cicada3301声称对针对标致汽车特许经销商Concession Peugeot(concessions.peugeot.fr)的数据泄露事件负责。

Concession Peugeot是一家与标致品牌相关的法国知名汽车经销商。该组织声称窃取了35GB的敏感数据，标志着其激进的网络攻击活动的延续。

该组织于上周末(2024年12月15日)在其官方暗网泄密网站上宣布了此次涉嫌入侵事件。还值得注意的是，Cicada3301 这个名字在2010年代初与密码谜题有关，此后它被勒索软件组织以勒索软件即服务(RaaS)模式运营。

这种模式使联盟成员能够通过租用勒索软件基础设施并与运营商分摊收益来实施攻击。Check Point在2024年9月的报告中还讨论了Cicada3301，该组织在一个俄语地下论坛上发布了一则广告，提供勒索软件即服务。该组织要求对成功的攻击收取20%的佣金，甚至为合作伙伴之间的纠纷提供谈判机制。

Cicada3301勒索软件组织最早由网络安全公司Truesec发现，并于2024年6月进行观察。该勒索软件以Rust编写，可以针对Windows和Linux/ESXi系统，展示了其跨平台功能。

Cicada3301与ALPHV/BlackCat勒索软件有显著的相似之处，包括使用ChaCha20加密、关闭虚拟机的相同命令以及提供加密图形输出的-ui命令。这两个组织还共享类似的文件命名模式和用于解密勒索信的关键参数。这些重叠表明它们之间存在共同的联系或采用了经过验证的技术来最大限度地提高效率和影响力。

对标致特许经营店的攻击符合Cicada3301的策略，即针对高价值组织以最大化影响。35GB数据的窃取尤其令人担忧，因为查看了泄露文件的屏幕截图，其中揭示了官方和内部通信、发票、护照复印件，甚至食谱。

事实上，Concession Peugeot在官方子域名下运营，concessions.peugeot.fr与更大的Peugeot品牌建立了更紧密的联系。像Peugeot这样的大公司经常让其授权经销商使用子域名来保持一致的在线形象，并使客户更容易信任他们的服务。

然而，这种设置意味着对经销商的攻击很容易被误认为是对总公司的攻击。虽然这次入侵只针对经销商，但使用标致的域名可能会造成混乱，并引发对整个品牌安全性的质疑。