Cicada 3301 Ransomware

Els experts en ciberseguretat han analitzat una nova variant de ransomware anomenada Cicada 3301, que comparteix trets amb l'operació BlackCat (també coneguda com ALPHV) ara interrompuda. El Cicada 3301 s'adreça principalment a les petites i mitjanes empreses (SMB), aprofitant les vulnerabilitats com a punt d'accés inicial mitjançant atacs oportunistes.

Desenvolupat a Rust, aquest ransomware està dissenyat per infectar els sistemes Windows i Linux/ESXi. Es va detectar per primera vegada el juny de 2024, quan va començar a reclutar afiliats per a la seva plataforma Ransomware-as-a-Service (RaaS) a través d'una publicació al fòrum subterrani RAMP. Una de les característiques distintives del ransomware és la incorporació de credencials d'usuari compromeses dins de l'executable, que més tard s'utilitzen per executar PsExec, una eina legítima que permet l'execució remota del programa.

El Cicada 3301 utilitza l'algoritme criptogràfic ChaCha20, una forma de xifratge simètric, per bloquejar fitxers. Els fitxers xifrats tenen els seus noms alterats amb una extensió de set caràcters generada aleatòriament. Per exemple, un fitxer anomenat originalment "1.doc" es transforma en "1.doc.f11a46a1". Un cop fet el xifratge, el ransomware deixa una nota de rescat en un fitxer de text anomenat "RESTORE-[file_extension]-DATA.txt".

Les demandes dels atacants darrere del ransomware Cicada 3301

La nota de rescat deixada pel Cicada 3301 deixa clar que el ransomware està dissenyat per a les empreses. Informa a la víctima que la seva xarxa ha estat compromesa, els fitxers xifrats i les còpies de seguretat esborrades. A més, adverteix que una quantitat important de dades sensibles ha estat robada de la xarxa.

Els atacants demanen el pagament per l'eina de desxifrat i per l'eliminació de les dades exfiltrades. Si no es compleixen aquestes demandes, amenacen amb filtrar la informació robada i avisar les autoritats reguladores, així com els clients, socis i competidors de la víctima.

Com a demostració que la recuperació de fitxers és possible, els pirates informàtics proposen desxifrar un fitxer de manera gratuïta. La nota també adverteix que no intenteu desxifrar o alterar els fitxers xifrats, ja que fer-ho podria provocar una pèrdua permanent de dades.

Similituds amb amenaces de ransomware anteriors

El Cicada3301 comparteix diverses tàctiques amb BlackCat, inclòs l'ús del xifratge ChaCha20, l'ordre sutil per avaluar enllaços simbòlics i xifrar fitxers redirigits i IISReset.exe per aturar els serveis IIS i xifrar fitxers que d'altra manera es podrien bloquejar per modificar-los o eliminar-los.

Les similituds addicionals amb BlackCat inclouen accions per eliminar còpies d'ombra, desactivar la recuperació del sistema modificant la utilitat bcdedit, augmentar el valor MaxMpxCt per gestionar volums de trànsit més grans (com les sol·licituds SMB PsExec) i esborrar tots els registres d'esdeveniments mitjançant la utilitat wevtutil.

El Cicada 3301 Ransomware apunta a 35 tipus de fitxers diferents

El Cicada3301 també ha observat que s'aturava les màquines virtuals (VM) desplegades localment, un comportament adoptat anteriorment pel Megazord Ransomware i el Yanluowang Ransomware , i la terminació de diversos serveis de còpia de seguretat i recuperació i una llista codificada de desenes de processos.

A més de mantenir una llista integrada de fitxers i directoris exclosos durant el procés de xifratge, el ransomware té com a objectiu un total de 35 extensions de fitxer: sql, doc, rtf, xls, jpg, jpeg, psd, docm, xlsm, ods, ppsx, png , raw, dotx, xltx, pptx, ppsm, gif, bmp, dotm, xltm, pptm, odp, webp, pdf, odt, xlsb, ptox, mdf, tiff, docx, xlsx, xlam, potm i txt.

Els investigadors també han descobert eines addicionals com EDRSandBlast que armen un controlador signat vulnerable per evitar les deteccions EDR, una pràctica que també va adoptar el grup BlackByte Ransomware en el passat.

La nota de rescat generada pel Cicada 3301 Ransomware diu:

'*** Welcome to Cicada3301 ***

** What Happened? **

Your computers and servers are encrypted, your backups are deleted.
We use strong encryption algorithms, so you won't be able to decrypt your data.
You can recover everything by purchasing a special data recovery program from us.
This program will restore your entire network.

** Data Leak **

We have downloaded more than 1500 GB of your company data.
Contact us, or we will be forced to publish all your data on the Internet
and send it to all regulatory authorities in your country, as well as to your customers, partners, and competitors.

We are ready to:

Provide you with proof that the data has been stolen;

Delete all stolen data;

Help you rebuild your infrastructure and prevent similar attacks in the future;

** What Guarantees? **

Our reputation is of paramount importance to us.
Failure to fulfill our obligations means not working with you, which is against our interests.
Rest assured, our decryption tools have been thoroughly tested and are guaranteed to unlock your data.
Should any problems arise, we are here to support you. As a goodwill gesture,
we are willing to decrypt one file for free.

** How to Contact us? **

Using TOR Browser:
1) You can download and install the TOR browser from this site: hxxps://torproject.org/
2) Open our website:

WARNING: DO NOT MODIFY or attempt to restore any files on your own. This can lead to their permanent loss.'