عرض خصم التراخيص المتعددة
قاعدة بيانات التهديد برامج الفدية برنامج الفدية Cicada 3301

برنامج الفدية Cicada 3301

بواسطة Mezo في برامج الفدية
ترجمة الى:
العربية

قام خبراء الأمن السيبراني بتحليل نوع جديد من برامج الفدية يسمى Cicada 3301، والذي يشترك في بعض السمات مع عملية BlackCat (المعروفة أيضًا باسم ALPHV) التي تم إيقافها الآن. يستهدف Cicada 3301 في المقام الأول الشركات الصغيرة والمتوسطة الحجم، مستغلًا نقاط الضعف كنقطة وصول أولية من خلال الهجمات الانتهازية.

تم تطوير هذا البرنامج الخبيث باستخدام لغة Rust، وهو مصمم لإصابة أنظمة Windows وLinux/ESXi. تم رصده لأول مرة في يونيو 2024، عندما بدأ في تجنيد الشركاء لمنصته Ransomware-as-a-Service (RaaS) من خلال منشور على منتدى RAMP السري. إحدى السمات المميزة للبرنامج الخبيث هي تضمين بيانات اعتماد المستخدم المخترقة داخل الملف القابل للتنفيذ، والتي يتم استخدامها لاحقًا لتنفيذ PsExec، وهي أداة شرعية تمكن من تنفيذ البرامج عن بُعد.

يستخدم برنامج Cicada 3301 خوارزمية التشفير ChaCha20، وهي شكل من أشكال التشفير المتماثل، لقفل الملفات. يتم تغيير أسماء الملفات المشفرة بامتداد مكون من سبعة أحرف يتم إنشاؤه عشوائيًا. على سبيل المثال، يتم تحويل ملف يحمل الاسم الأصلي "1.doc" إلى "1.doc.f11a46a1". بمجرد الانتهاء من التشفير، يترك برنامج الفدية ملاحظة فدية في ملف نصي باسم "RESTORE-[file_extension]-DATA.txt".

مطالب المهاجمين وراء برنامج الفدية Cicada 3301

توضح مذكرة الفدية التي تركها برنامج Cicada 3301 أن برنامج الفدية مصمم لاستهداف الشركات. فهي تخبر الضحية بأن شبكته قد تعرضت للاختراق، وتم تشفير الملفات ومحو النسخ الاحتياطية. بالإضافة إلى ذلك، تحذر من سرقة كمية كبيرة من البيانات الحساسة من الشبكة.

ويطالب المهاجمون بدفع أموال مقابل استخدام أداة فك التشفير وحذف البيانات المسروقة. وإذا لم يتم تلبية هذه المطالب، فإنهم يهددون بتسريب المعلومات المسروقة وإخطار السلطات التنظيمية، فضلاً عن عملاء الضحية وشركائه ومنافسيه.

كإثبات على إمكانية استرداد الملفات، يقترح المتسللون فك تشفير ملف واحد مجانًا. كما تحذر المذكرة من محاولة فك تشفير الملفات المشفرة أو تعديلها، لأن القيام بذلك قد يؤدي إلى فقدان البيانات بشكل دائم.

أوجه التشابه مع تهديدات برامج الفدية السابقة

تشارك Cicada3301 العديد من التكتيكات مع BlackCat، بما في ذلك استخدام تشفير ChaCha20، وأمر sutil لتقييم الروابط الرمزية وتشفير الملفات المعاد توجيهها، وIISReset.exe لإيقاف خدمات IIS وتشفير الملفات التي قد تكون مقفلة من التعديل أو الحذف.

تتضمن أوجه التشابه الإضافية مع BlackCat إجراءات لإزالة النسخ الظلية، وتعطيل استرداد النظام عن طريق تعديل أداة bcdedit، وزيادة قيمة MaxMpxCt للتعامل مع أحجام حركة مرور أكبر (مثل طلبات SMB PsExec)، ومسح جميع سجلات الأحداث باستخدام أداة wevtutil.

يستهدف برنامج الفدية Cicada 3301 35 نوعًا مختلفًا من الملفات

كما لاحظ Cicada3301 إيقاف تشغيل الآلات الافتراضية (VMs) التي تم نشرها محليًا، وهو السلوك الذي تبناه سابقًا Megazord Ransomware و Yanluowang Ransomware ، وإنهاء خدمات النسخ الاحتياطي والاسترداد المختلفة وقائمة مبرمجة مسبقًا تضم عشرات العمليات.

بالإضافة إلى الحفاظ على قائمة مدمجة من الملفات والدلائل المستبعدة أثناء عملية التشفير، يستهدف برنامج الفدية ما مجموعه 35 امتدادًا للملفات - sql و doc و rtf و xls و jpg و jpeg و psd و docm و xlsm و ods و ppsx و png و raw و dotx و xltx و pptx و ppsm و gif و bmp و dotm و xltm و pptm و odp و webp و pdf و odt و xlsb و ptox و mdf و tiff و docx و xlsx و xlam و potm و txt.

اكتشف الباحثون أيضًا أدوات إضافية مثل EDRSandBlast التي تستغل برنامج التشغيل الموقع الضعيف لتجاوز اكتشافات EDR، وهي ممارسة تبنتها أيضًا مجموعة BlackByte Ransomware في الماضي.

تنص مذكرة الفدية التي تم إنشاؤها بواسطة برنامج الفدية Cicada 3301 على ما يلي:

'*** Welcome to Cicada3301 ***

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

Provide you with proof that the data has been stolen;

Delete all stolen data;

Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'

الشائع

راديو الانترنت

البرامج غير المرغوب فيها, برامج إعلانية, متصفحات الخاطفين
في عالم مترابط بشكل متزايد، أصبحت أمان أجهزتك أكثر أهمية من أي وقت مضى. تتطور التهديدات السيبرانية، وتمثل البرامج غير المرغوب فيها فئة خادعة بشكل خاص من البرامج التي يمكن أن تقوض خصوصيتك وأمانك....

TodoSwift Mac البرامج الضارة

البرمجيات الخبيثة, التهديد المستمر المتقدم (APT)
اكتشف باحثو الأمن السيبراني سلالة جديدة من البرامج الضارة التي تستهدف نظام التشغيل macOS تسمى TodoSwift، والتي تشترك في خصائص مع البرامج الضارة المعروفة المرتبطة بمجموعات القرصنة الكورية الشمالية....

الأكثر مشاهدة

احتيال البريد الإلكتروني "Geek Squad"

التصيد الاحتيالي, رسائل إلكترونية مزعجة
37,897
أصبح Geek Squad ، وهو مزود دعم تقني شهير ، ضحية لعملية احتيال تصيد احتيالية تسمى Geek Squad Email الاحتيال. تستخدم عملية احتيال الدعم الفني هذه رسائل بريد إلكتروني مزيفة تخدع الأشخاص للتخلي عن معلوماتهم الشخصية ، مثل تفاصيل بطاقة الائتمان وعناوين البريد الإلكتروني وحتى أرقام الضمان الاجتماعي. في هذه المقالة ، سنناقش عملية الاحتيال نفسها ، وشكلها ، ومن أين تأتي رسائل البريد الإلكتروني المزيفة ،...
جار التحميل...